NPM套件暫存發布機制強化軟體供應鏈安全
2025年下半 Shai-Hulud 2.0 供應鏈攻擊後,GitHub 於 2026 年 5 月宣布為 NPM 引入**套件暫存發布(staged publishing)**機制,讓維護者在正式發布前可先審查套件內容。
機制說明
- 開發者透過 CI/CD 將套件送入暫存區(
npm stage命令) - 維護者審查暫存套件後,通過 2FA 核准正式發布
- 需 NPM CLI 11.15.0+ 及 Node.js 22.14.0+
- 僅適用於已存在的套件,不支援首次發布
配合機制
- 可搭配現有的**可信任發布(trusted publishing / OIDC)**機制
- 維護雙重審查:CI/CD 自動化 + 人工確認
背景與動機
- Shai-Hulud 2.0:2025 年大規模 NPM 供應鏈攻擊事件
- 同類概念:software-supply-chain-attack
來源文章
- ithome-2026-05-22-npm-staged-publishing-176043.md — iThome 2026-05-22 原始報導
相關頁面
- npm — NPM套件管理工具
- software-supply-chain-attack — 軟體供應鏈攻擊概念