js · pnpmAtenção
pnpm e pacquet: expansão de variáveis de ambiente em .npmrc e pnpm-workspace.yaml desativada
pnpm e pacquet não expandem mais placeholders de variáveis de ambiente de arquivos .
O que mudou
pnpm e pacquet não expandem mais placeholders de variáveis de ambiente de arquivos .npmrc ou pnpm-workspace.yaml do projeto em URLs de registro, URLs de registro com escopo, chaves com escopo de URL ou valores de autenticação. A configuração do usuário ainda expande.
Quem isso afeta
Todos os usuários de pnpm ou pacquet que executam comandos de dependência em repositórios com arquivos .npmrc ou pnpm-workspace.yaml maliciosos contendo placeholders ${ENV_VAR} em configurações de registro ou autenticação.
O que fazer hoje
Atualize o pnpm para a versão corrigida assim que for lançada, ou aplique o patch do branch compartilhado para evitar exfiltração de segredos via requisições de registro.
A esteira
Coletado→
Auditado→
Redigido→
Publicado