NPM套件暫存發布機制強化軟體供應鏈安全

2025年下半 Shai-Hulud 2.0 供應鏈攻擊後,GitHub 於 2026 年 5 月宣布為 NPM 引入**套件暫存發布(staged publishing)**機制,讓維護者在正式發布前可先審查套件內容。

機制說明

  • 開發者透過 CI/CD 將套件送入暫存區(npm stage 命令)
  • 維護者審查暫存套件後,通過 2FA 核准正式發布
  • 需 NPM CLI 11.15.0+ 及 Node.js 22.14.0+
  • 僅適用於已存在的套件,不支援首次發布

配合機制

  • 可搭配現有的**可信任發布(trusted publishing / OIDC)**機制
  • 維護雙重審查:CI/CD 自動化 + 人工確認

背景與動機

來源文章

相關頁面