pnpm v11.0.0 リリース。サプライチェーン攻撃 対策が大幅に強化された major update
サプライチェーン緩和
minimumReleaseAgeデフォルト 1 日(1440 分)— 新着 24h 以内のパッケージを resolve しないblockExoticSubdepsデフォルト true — exotic な subdep をブロックstrictDepBuildsデフォルト true、allowBuildsで install scripts を明示的に allowlist 管理pnpm sbomを新コマンドとして追加(SBOM 生成)
その他の breaking changes
- Node.js 22+ 必須、pnpm 本体が pure ESM 化
.npmrcは auth/registry のみ。他設定はpnpm-workspace.yaml/ 新config.yamlへ移管- グローバルパッケージはパッケージごとに隔離ディレクトリで管理