- 投稿日
pnpm とセキュアな依存管理
pnpm v10 から、依存するパッケージのライフサイクルスクリプトをデフォルトで実行しないようになる。
昨今、swc や esbuild など異なる言語で書かれたパッケージを npm でインストールすることが一般的になってきた。 これらは、バイナリで提供されているため、インストールしたユーザーのアーキテクチャに合わせて用意される必要がある。
"use strict";このコードは。swc の postinstall script で、インストール時に実行される。
内容は、適切なアーキテクチャのバイナリを検証し、無い場合は @swc/wasm を取得してくるというものである。
npm レジストリのパッケージは度々サプライチェーンの標的にされる。12
ここで読者の皆さんに質問したい。あなたはある npm パッケージをインストールするときに、そのパッケージがどのようなライフサイクルスクリプトを持っているかを確認しているだろうか? 私はしていない。
前述した通り、ライフサイクルスクリプトを必要とする npm パッケージは必要な理由がある。 きっと読者含め多くの人が、その理由を理解しているからこそ必要とされるパッケージに、ライフサイクルスクリプトがあってもおかしくないな、という気持ちを持っているだろう。
しかし、やべーハカーは、ライフサイクルスクリプトを悪用する。 直近にも、npm パッケージのライフサイクルスクリプトを悪用した脆弱性が報告されている。3
これは余談だが、rspack はどうやらライフサイクルスクリプトを必要としないらしい。 対応していないアーキテクチャで rspack を使おうとすると例外が投げられて死ぬ。
const { existsSync, readFileSync } = require('fs')Release pnpm 10 · pnpm/pnpm · GitHub
Fast, disk space efficient package manager. Contribute to pnpm/pnpm development by creating an account on GitHub.
pnpm v10 では Node.js から corepack が分離する決定4に伴い、package.json#packageManager を見て pnpm が指定されているプロジェクトでは、そのプロジェクトの pnpm を使う挙動がデフォルトとなった。
詳しい話は euxn23 さんの記事を読んでほしい。めちゃ分かりやすい。
pnpm v10 で corepack 不要で pnpm 自身のバージョン管理が可能に
他にも store バージョンの更新や、pnpm link の挙動変更など、多くの変更があるが、本記事ではライフサイクルスクリプトの実行周りについてのみ触れる。
feat!: use an allow list of built dependencies by default by zkochan · Pull Request #8897 · pnpm/pnpm · GitHub
By default no dependency is allowed to run lifecycle scripts during installation.
直近に起こった rspack の脆弱性を受けて、pnpm team は改めて Twitter でライフサイクルスクリプトの実行についてユーザーアンケートを募った。5
その結果、ライフサイクルスクリプトの実行をデフォルトで無効化することが決定され、実装された。
リリースノート にも記載されている通り、特定の依存関係のライフサイクルスクリプトを許可するには、package.json に以下のように追記することで可能となる。
{
"pnpm": {
"onlyBuiltDependencies": ["fsevents"]
}
}この例では、fsevents というパッケージのライフサイクルスクリプトのみを許可する設定となる。
実装の PR では bun のアプローチとの違いについて議論されている。
bun も pnpm と同様にライフサイクルスクリプトの実行をデフォルトで無効化しているが、bun はデフォルトでライフサイクルスクリプトの実行を許可するパッケージのリストを持っている。
@airbnb/node-memwatch実装の PR では bun のようにデフォルトで許可するパッケージのリストを持つことを求める声もあったが、pnpm はそのようなアプローチを取らなかった。
pnpm team はリストのメンテナンスが大変であることや冗長であることなどから、ユーザーが明示的に許可するパッケージを指定することで、より安全な環境を提供することを目指した。
pnpm v10 で依存のライフサイクルスクリプトの実行は制限されたが、onlyBuiltDependencies に設定している配列を良い感じに管理することは難しい。
そこで pnpm v10.1 では新たに pnpm ignored-builds と pnpm approve-builds というコマンドが追加された。
feat: add ignored-builds command by zkochan · Pull Request #8963 · pnpm/pnpm · GitHub
Related PR: feat!: use an allow list of built dependencies by default #8897
pnpm ignored-builds は、ライフサイクルスクリプトを持った依存関係を一覧表示するコマンドである。
pnpm approve-builds は、ライフサイクルスクリプトを持った依存関係を許可するコマンドである。
これらのコマンドを使用することで、対話的にライフサイクルスクリプトを持った依存関係を管理することが可能となる。 (読んでみた感じ追加ができるだけで削除はできないようで、ほしいなぁと思うのだ)
pnpm v10 から、依存するパッケージのライフサイクルスクリプトをデフォルトで実行しないようになった。
JavaScript のエコシステムは日々進化している。その中で、セキュリティに関する問題も増えている。 すこしでもセキュリティを意識して、より安全な環境を提供するために、pnpm v10 での変更は大きな意味を持つ。