🚀 pnpm in 2025 | pnpm
Security by Default を導入し、依存パッケージを「信頼しない」方向へ転換。
Lifecycle scripts(preinstall/postinstall)をデフォルトでブロック。
allowBuilds により、ビルドを許可するパッケージを細かく制御可能に。
Defense in Depth として以下を追加:
minimumReleaseAge: 24時間以内の新規リリースをブロック
trustPolicy: no-downgrade: 信頼度の低いバージョンへの更新を防止
blockExoticSubdeps: 信頼されていないソースからのサブ依存を拒否
2. グローバル仮想ストア(Global Virtual Store)
v10.12 で導入。
複数プロジェクト間で依存の node_modules 構造を共有し、ディスク使用量の大幅削減 と 高速インストール を実現。
3. JSR(JavaScript Registry)をネイティブサポート
jsr: プロトコルで JSR パッケージを直接インストール可能に。
4. Config Dependencies の導入
モノレポや複雑な環境向けに、pnpm の設定(hooks、patches、allowBuilds など)を依存として共有できる仕組みを追加。
5. JavaScript ランタイムの自動管理
Node.js に加え、Deno や Bun も自動管理対象に。
devEngines.runtime に指定したバージョンを pnpm が自動で取得・使用。
6. ホームページの全面リニューアル
Bit.cloud の支援で新デザインへ刷新。
多くの UI が Bit のコンポーネントと AI エージェント Hope AI によって構築。
7. JSNation での初の国際カンファレンス登壇
pnpm の認知度の高さを実感した年に
8. v11 に向けた展望
パフォーマンス改善が進行中。
グローバル仮想ストアはまだデフォルトにはしない予定。