pnpm 11 RC ra mắt: Yêu cầu Node.js 22, bảo mật chuỗi cung ứng mặc định và định dạng lưu trữ mới

pnpm, trình quản lý gói JavaScript nổi tiếng về tốc độ và hiệu quả sử dụng đĩa, đã phát hành bản ứng cử (Release Candidate) cho phiên bản 11. Bản cập nhật này mang đến một sự cải tổ lớn trải rộng trên hiệu suất, an ninh chuỗi cung ứng và bề mặt cấu hình nhỏ gọn hơn, nghiêm ngặt hơn.

pnpm 11 RC giới thiệu chỉ mục lưu trữ mới dựa trên SQLite, các biện pháp bảo vệ chuỗi cung ứng được bật mặc định, cài đặt toàn cầu cô lập thông qua kho lưu trữ ảo (global virtual store), và thiết lập allowBuilds thống nhất. Ngoài ra, phiên bản này còn đi kèm một tập hợp các lệnh mới bao gồm pnpm ci, pnpm sbom, pnpm clean, pnpm peers check và pnpm runtime set, cùng với các biệt danh ngắn gọn pn và pnx.

Yêu cầu hệ thống và phân phối ESM

Một trong những thay đổi đáng chú ý nhất là pnpm hiện được phân phối dưới dạng ESM thuần túy và yêu cầu Node.js v22 trở lên. Hỗ trợ cho các phiên bản Node.js 18, 19, 20 và 21 đã bị loại bỏ hoàn toàn. Ma trận tương thích chi tiết đã được cập nhật trong tài liệu cài đặt để giúp các nhà phát triển dễ dàng chuyển đổi.

Bảo mật chuỗi cung ứng được tăng cường

Trước bối cảnh các sự cố bảo mật chuỗi cung ứng nổi bật gần đây trong hệ sinh thái npm, pnpm 11 đã thắt chặt các thiết lập bảo mật mặc định. Cài đặt minimumReleaseAge hiện mặc định là 1 ngày, nghĩa là các phiên bản mới được xuất bản sẽ không được giải quyết trong vòng 24 giờ. Ngoài ra, blockExoticSubdeps cũng mặc định được đặt là true.

Việc này đã thu hút nhiều thảo luận trên Hacker News, nơi các lập trình viên tranh luận về việc liệu khoảng thời gian chờ này có thực sự giúp ích cho việc phát hiện mã độc hay không.

Cấu hình và Build Script được đơn giản hóa

Các thiết lập script build đã được hợp nhất và đơn giản hóa. Nhiều tùy chọn cấu hình cũ như onlyBuiltDependencies, onlyBuiltDependenciesFile, neverBuiltDependencies, ignoredBuiltDependencies và ignoreDepScripts đã bị loại bỏ để thay thế bằng một tùy chọn duy nhất là allowBuilds. strictDepBuilds hiện được bật mặc định là true.

pnpm cũng ngừng đọc cấu hình từ trường "pnpm" của package.json và từ các biến môi trường npm_config_. Tệp cấu hình toàn cầu đã chuyển sang định dạng YAML. Các tùy chọn như allowNonAppliedPatches, ignorePatchFailures, pnpm server và useNodeVersion đã bị loại bỏ.

Hiệu suất và Cài đặt toàn cầu

Các cài đặt toàn cầu (global installs) hiện được cô lập hoàn toàn; mỗi lệnh pnpm add -g package sẽ nhận được thư mục, package.json, node_modules và lockfile riêng biệt. Kho lưu trữ ảo toàn cầu được bật mặc định cho pnpm dlx và các gói toàn cầu, mặc dù nó vẫn là tùy chọn (opt-in) cho các dự án thông thường.

Về hiệu suất, bản cập nhật bao gồm việc chuyển sang sử dụng undici với thuật toán Happy Eyeballs cho HTTP, ghi trực tiếp vào kho lưu trữ để bỏ qua thư mục staging, tải xuống tarball được cấp phát trước và bộ nhớ đệm metadata NDJSON.

So sánh và Hướng dẫn di chuyển

So với npm và Yarn, pnpm 11 vẫn giữ nguyên những lợi thế lâu đời như cô lập node_modules theo mặc định, lưu trữ có thể định địa chỉ (content addressable storage) và hỗ trợ monorepo hạng nhất. Đồng thời, nó mở rộng sự dẫn đầu về bảo mật với tính năng tạo SBOM qua pnpm sbom và xử lý script build nghiêm ngặt hơn — những lĩnh vực mà Yarn vẫn đang theo sau.

Các nhà phát triển có thể thử nghiệm bản phát hành ngay hôm nay với lệnh:

pnpm self-update next-11

Hướng dẫn di chuyển chi tiết có sẵn trong tài liệu pnpm 11.x và thảo luận theo dõi v11.