у версії pnpm 10.32 до команди pnpm approve-builds додано параметр --all, який дозволяє затверджувати всі очікувані збірки без інтерактивних запитів.

у версії pnpm 10.31 збережено коментарі та форматування під час оновлення файлу pnpm-workspace.yaml, а також виправлено чимало помилок.

у версії pnpm 10.30 команда pnpm why була перероблена для показу дерева зворотних залежностей, що значно полегшує розуміння причин встановлення того чи іншого пакунка.

pnpm 10.29 додає підтримку протоколу catalog: до pnpm dlx, дозволяє налаштовувати auditLevel у pnpm-workspace.yaml, підтримує порожній специфікатор workspace: та містить кілька виправлень помилок.

У pnpm 10.28 представлено новий хук beforePacking для налаштування package.json під час публікації, покращено продуктивність інсталяції з використанням фільтрів та виправлено кілька помилок.

pnpm 10.27 додає нове налаштування для ігнорування перевірок політики довіри для старих версій пакунків, вводить реєстр проєктів для глобального очищення віртуального сховища та включає кілька виправлень помилок.

2025 рік став переломним для pnpm. Хоча нашою основною метою було переосмислення моделі безпеки управління пакунками, ми також досягли значного поліпшення продуктивності та зручності роботи розробників.

Від стандартного блокування скриптів життєвого циклу до впровадження глобального віртуального сховища — ось огляд основних функцій, реалізованих у 2025 році.

pnpm 10.26 вводить більш суворі стандартні налаштування безпеки для залежностей, що розміщуються на git, додає allowBuilds для детальних дозволів на виконання скриптів та включає нове налаштування для блокування екзотичних перехідних залежностей.

pnpm 10.25 покращує обробку сертифікатів, додає базовий pnpm init та містить кілька виправлень, що покращують якість роботи.

We got lucky with Shai-Hulud 2.0.

In November 2025, a self-replicating npm worm compromised 796 packages with 132 million monthly downloads. The attack used preinstall scripts to steal credentials, install persistent backdoors, and in some cases wipe entire developer environments. We weren't affected—not because we had robust defenses, but because we didn't run npm install or npm update during the attack window.

Luck isn't a security strategy.