typescript.news
npm 11.18 promeut la stratégie d'installation `linked` en stable, ajoute l'espace de noms `npm install-scripts` et avertit quand `min-release-age` bloque un correctif d'audit
toolingecosystem

npm 11.18 promeut la stratégie d'installation `linked` en stable, ajoute l'espace de noms `npm install-scripts` et avertit quand `min-release-age` bloque un correctif d'audit

lschvn

npm 11.18.0, publiée le 29 juin 2026, est la release qui achève le travail que le CLI npm mène sur les installations isolées depuis trois ans et demi. L'événement phare est la PR #9677 (backport de #9674), qui fait passer --install-strategy=linked d'expérimental à stable. Le mode avait été ajouté dans la PR #6078 le 25 janvier 2023 contre la npm/rfcs#0042, la RFC sur le mode isolated issue du Contributor Summit 2022. La promotion retire l'avertissement implicite « ceci peut dévorer votre node_modules » que la doc portait depuis 2023 et constitue l'événement de clôture du plus long effort de l'équipe npm sur les stratégies d'installation.

La release est la deuxième release de fonctionnalité de la ligne v11 ce mois-ci et accompagne la prerelease npm v12 que l'équipe a taguée le même jour. La ligne v11 est la ligne stable ; la prerelease v12 est l'endroit où le changement block-unreviewed-install-scripts-by-default et la promotion du mode linked sont ré-appliqués contre la future major.

Ce que --install-strategy=linked change concrètement

La stratégie d'installation par défaut de npm est hoisted. Chaque dépendance transitive est dupliquée dans le node_modules racine pour que tout paquet puisse require n'importe quelle dépendance transitive hissée par hasard, même si rien dans son package.json ne la déclare. C'est la cause racine des dépendances fantômes : du code qui importe une bibliothèque jamais ajoutée à ses propres dependencies, et le bug n'apparaît que lorsqu'un collègue installe avec un node_modules propre et que le hissage se trouve différent.

--install-strategy=linked (aussi appelée mode isolated) installe en revanche chaque paquet dans node_modules/.store/<name>@<version>/node_modules/<dep> et lie symboliquement les dépendances déclarées de chaque paquet dans son propre node_modules/<dep>. Résultat : un paquet ne peut import que ce qu'il a déclaré. S'il importe une bibliothèque non déclarée, l'import échoue immédiatement au lieu de fonctionner par accident et de partir en prod cassé.

La doc npm install décrit les quatre stratégies ainsi :

  • hoisted (défaut) : installe non-dupliqué au niveau racine, dupliqué si nécessaire au sein de la structure de répertoires.
  • nested (anciennement --legacy-bundling) : installe en place, sans hissage.
  • shallow (anciennement --global-style) : n'installe que les deps directes au niveau racine.
  • linked : installe dans node_modules/.store, lie en place, pas de hissage.

Les notes de release de la 11.18 ajoutent la recommandation de doc qui fait de la stratégie une vraie recommandation plutôt qu'un flag CLI caché. La page de doc dit désormais : « Nous recommandons aux auteurs de paquets d'utiliser --install-strategy=linked pendant le développement pour intercepter les dépendances non déclarées (phantom) avant publication : le layout isolated n'expose que les dépendances déclarées du paquet, donc un import d'un paquet qui n'a jamais été ajouté au package.json peut échouer au lieu de se résoudre par accident et de partir cassé. Voir Catching undeclared (phantom) dependencies. »

Cette phrase a été ajoutée par la PR #9690, le changement de doc qui backporte en parallèle de la promotion.

Pourquoi trois ans et demi en expérimental

Trois raisons. D'abord, le drapeau expérimental s'accompagnait d'angles tranchants. Le ticket de suivi #9608 de l'équipe ([Tracking] install-strategy=linked (isolated mode) bugs) liste 19 bugs distincts à travers le chemin d'install, le chemin d'audit, le chemin npm exec et le chemin npm ls que la release 11.18 referme. Les quatre que l'équipe a signalés comme les pires sont l'audit qui renvoie zéro résultat sur une vulnérabilité réelle (#9609), npm ls qui reporte de faux UNMET DEPENDENCY (#9095), napi-postinstall qui ne résout pas une liaison native optionnelle installée (#9620), et le mismatch de layout .store avec le lockfile caché (#9612). Les fixes 11.18 pour chacun sont les PRs #9638, la suite de #9095 sous la logique de #9638, le fix de #9620 sous #9665, et #9642 respectivement.

Ensuite, la stratégie avait besoin d'une histoire d'audit. La PR #9625 audit l'arbre non-isolé sous la stratégie linked, de sorte que npm audit parcourt à la fois la vue linked et le store sous-jacent et reporte les vulnérabilités correctement. La PR #9638 rend le rapport d'audit déterministe en rattachant les liens via perdus, pour que deux exécutions consécutives de npm audit sur un lockfile inchangé produisent une sortie octet-identique, ce dont l'infrastructure CI de l'équipe dépend pour les tests de régression basés sur diff.

Enfin, l'histoire workspace. Les PR #9666 et #9665 apprennent à la stratégie linked à charger les dépendances optionnelles transitives et à appliquer correctement les drapeaux dev/prod au sein des workspaces ; #9648 fait que npm exec résout les bins locaux au workspace ; #9669 surface les workspaces non déclarés sous la stratégie linked pour qu'une entrée workspaces manquante ne produise pas silencieusement une install partielle. Avant la 11.18, la stratégie linked fonctionnait pour les repos mono-paquet mais trébuchait sur les setups workspaces ; après la 11.18, c'est le pilote quotidien recommandé pour les workspaces.

Le nouvel espace de noms npm install-scripts

La PR #9635 (backport de #9629) introduit une commande à espace de noms npm install-scripts qui possède trois sous-commandes : npm install-scripts approve, npm install-scripts deny, et npm install-scripts ls. Les anciennes commandes npm approve-scripts et npm deny-scripts sont conservées comme alias pour une release, puis retirées. Le namespace ré-oriente les instructions d'install, de rebuild et de strict-allow-scripts vers les nouvelles commandes, pour qu'un développeur qui exécute npm install et tombe sur la nouvelle ligne « npm install blocked N scripts » soit renvoyé vers la même famille de commandes.

La raison d'être du namespace est que approve-scripts était une commande cas spécial posée à côté du reste de la surface de commandes npm ; install-scripts la fait entrer dans la même famille que install, install-test, etc. Cela donne aussi à l'équipe la place d'ajouter des sous-commandes : npm install-scripts ls est nouveau en 11.18 et imprime la liste allow/deny courante avec les noms de paquets et les chemins.

La release ajoute aussi la PR #9662 (install-scripts: prune unused allowScripts entries), qui balaie la liste d'allow à chaque install et retire les entrées dont le paquet n'est plus dans dependencies. Cela referme un défaut de longue date où la liste d'allow croissait monotonement : si vous approuviez esbuild pour package-a, puis retiriez esbuild des deps de package-a et l'ajoutiez à celles de package-b, la liste d'allow gardait l'entrée d'origine. Après la 11.18, le sweep la retire dans npm install, et l'utilisateur est invité à réapprouver sous package-b.

L'avertissement min-release-age sur l'audit fix

La PR #9564 (backport de #9544) apprend à npm audit fix à détecter quand le correctif qu'il appliquerait est bloqué par la policy minimumReleaseAge configurée dans .npmrc. La même policy est livrée par pnpm, et le flux de mise à jour d'Astro 6.4.4 la surface pour @astrojs/upgrade. La version npm avertit explicitement quand la policy bloque un correctif d'audit, au lieu de ne rien faire en silence :

npm audit fix
# 3 vulnerabilities (1 low, 1 moderate, 1 high)
#
# Could not auto-fix 1 vulnerability:
#   package: glob-parent <6.0.0 (transitive via some-tool)
#   blocked by minimumReleaseAge=4320 (cool-down window)
#   set `minimum-release-age=0` or wait for the cool-down to expire.

Le texte a la même forme que l'avertissement ERR_PNPM_MIN_RELEASE_AGE de pnpm. La description de PR de l'équipe npm dit qu'elle « veut que les utilisateurs puissent faire la différence entre « pas de correctif disponible » et « correctif existant mais retenu par la policy » », ce que la sortie précédente de npm audit fix ne permettait pas.

SBOM et autres corrections

Trois fixes npm sbom sont livrés en 11.18. La PR #9693 encode en pourcentage le qualificateur vcs_url dans les purls générées, ce qui referme un bug de longue date de l'outillage CP où une URL git+https://github.com/foo bar/bar (avec un espace) était émise verbatim et rejetée par les parseurs en aval. La #9631 audit l'arbre non-isolé sous la stratégie linked pour que les rapports SBOM et npm audit remontent tous les deux le jeu complet de deps. La #9641 valide les conflits peerOptional dans les mutations no-save, ce qui signifie que npm install some-pkg --no-save refusera d'installer si cela créerait un conflit peerOptional.

La release corrige aussi la PR #9602 (ne pas signaler les deps optionnelles inertes en strict-allow-scripts), la #9607 (approuver par nom les deps sans URL résolue), et la #9663 (refermer les failles d'enforcement allowScripts). Prises ensemble, elles signifient que le mode strict-allow-scripts ajouté dans npm 11.5 distingue maintenant correctement les paquets qui ont besoin de scripts (le hook d'install est actif, le hook d'audit les attrapera) et ceux qui n'en ont pas (le hook d'install est désactivé parce qu'il n'y a pas de script d'install).

Pourquoi c'est important

--install-strategy=linked est la réponse de npm à la question à laquelle pnpm répond depuis 2017 : comment empêcher un paquet d'importer une dépendance transitive qu'il n'a jamais déclarée ? pnpm n'a jamais porté le drapeau expérimental ; yarn berry livre PnP par défaut ; npm est le troisième des trois à atteindre le statut « stable et recommandé pour l'usage quotidien ». La promotion est le moment où le modèle d'installation que tous les autres traitent comme défaut devient enfin un chemin recommandé par défaut chez npm.

Pour les auteurs de paquets, le changement concret est petit et précis. Ajoutez ceci à .npmrc :

install-strategy=linked

Puis exécutez npm install en CI dans le cadre du npm publish. Si le build échoue maintenant parce qu'un fichier de test importe une bibliothèque non déclarée, vous avez un vrai bug à corriger avant publication, pas une dépendance fantôme qui explosera sur l'install propre d'un collègue.

Le même changement s'applique aux propriétaires de monorepos. Les fixes 11.18 pour npm exec (#9648), npm ls (#9664), les workspaces (#9666), et le nettoyage .store au changement de stratégie (#9649) referment les failles qui rendaient --install-strategy=linked inutilisable pour les workspaces avant. Un monorepo peut livrer install-strategy=linked dans .npmrc à la racine et compter sur sa propagation dans les workspaces.

La release est aussi la première depuis l'article supply chain du 6 juin qui referme les failles d'audit strict-allow-scripts mentionnées dans cet article. Les drapeaux --install-blocked-scripts et strict-allow-scripts de npm 11.5 sont maintenant utilisables de bout en bout, et le nouvel espace de noms npm install-scripts est l'endroit où vivent les approbations.

Questions fréquentes

Oxlint v1.72 et Oxfmt v0.57 livrent le cycle crates v0.138, unifient l'AstBuilder et retirent le repli Prettier pour CSS/GraphQL

Oxlint apps_v1.72.0 et oxfmt apps_v0.57.0, tous deux publiés le 2026-06-29, clôturent le cycle v0.138 prédit dans les [notes de version v1.71](/articles/2026-06-23--oxlint-v1-71-oxfmt-v0-56). La version crates (crates_v0.138.0, aussi 2026-06-29) unifie les anciennes et nouvelles API AstBuilder (#23876, #23834, #23831, avec les méthodes héritées marquées `#[deprecated]`), renomme `AllocatorAccessor` en `GetAllocator` et fait prendre `&self` à sa méthode `allocator` (#23675, #23676), fait prendre `&GetAllocator` aux méthodes `Str` et `Ident` (#23781), ajoute `transformer_plugins: Support typeof define keys` pour vue-i18n et macros similaires (#23605, Alexander Lichter), et livre l'entrée de perf phare du cycle : `minifier: memoize value_type to remove its O(n^2) re-walk on long binary chains` (#23929, Dunqing), qui transforme une chaîne d'addition arithmétique de 20 000 termes de 6 118 ms à 4,7 ms (≈1300x) et le bundle antd.js réel de 78,1 ms à 65,4 ms. Oxlint v1.72.0 livre 3 fonctionnalités (suggestion React pour `no-unknown-property` #23936, unification AstBuilder #23875, schéma pour `eslint/no-restricted-import` #23642), 18 corrections de bugs, et 23 entrées de performance. Oxfmt v0.57.0 comporte deux changements BREAKING qui retirent le repli Prettier pour les fichiers CSS/LESS/SCSS et GraphQL : `Format parser:css,less,scss files + css-in-js by oxc_formatter_css` (#23321, leaysgur) et `Support draft syntax with removing prettier fallback` (#23326, leaysgur), tous deux construits sur les nouveaux crates `oxc_formatter_css` (#23320) et `oxc_formatter_graphql` (#23317).

Articles connexes

Plus de couverture avec des sujets et tags en commun.

Prettier 3.9 refond cinq parseurs : micromark pour Markdown, yaml v2, GraphQL.js v17, un parseur Flow en Rust et Angular
tooling

Prettier 3.9 refond cinq parseurs : micromark pour Markdown, yaml v2, GraphQL.js v17, un parseur Flow en Rust et Angular

Prettier 3.9.0, publié le 27 juin 2026 (prettier/prettier, billet de Fisker Cheung), est une release centrée sur les parseurs qui fait passer Markdown de remark-parse v8 à micromark v4 (meilleure conformité CommonMark et GFM et une série de bugs de parsing de longue date corrigés), YAML à yaml v2, GraphQL à GraphQL.js v17 (arguments de fragment et directives sur les définitions de directive), Flow au nouveau parseur oxidized basé sur Rust de l'équipe Flow (environ 37 % plus rapide sur les fixtures Flow valides de Prettier et 43 % plus rapide sur flow_parser.js en benchmarks parser-only locaux) et Angular. Le formateur JavaScript et TypeScript est aussi retravaillé, en particulier en mode --no-semi où les commentaires autour de break et continue sont maintenant stables entre plusieurs passages (un fix d'idempotence), plus la suppression des parenthèses redondantes dans les return, l'alignement des interpolations de template embarquées et l'inlining des expressions de négation logique. La release retire la syntaxe legacy import ... assert {} (Babel 8 a supprimé le plugin de parseur ; migrez vers with), corrige une option --cache-strategy content silencieusement cassée et empêche les fichiers EditorConfig au-dessus des worktrees Git de s'infiltrer. L'équipe rappelle d'épingler la version exacte dans package.json car les changements de formatage vont produire des diffs.
pnpm 11.8 livre `install --dry-run`, des package maps Node.js et une SBOM par paquet
tooling

pnpm 11.8 livre `install --dry-run`, des package maps Node.js et une SBOM par paquet

pnpm 11.8.0 (18 juin 2026) ajoute un `--dry-run` longtemps réclamé pour `pnpm install`, des package maps Node.js expérimentales dans `node_modules/.package-map.json`, le scope CycloneDX pour les devDependencies et la génération de SBOM par paquet, ainsi qu'un correctif macOS Gatekeeper qui retire la quarantaine des binaires natifs. Il corrige aussi une faille de traversal de chemin sur les configDependencies (GHSA-qrv3-253h-g69c) trois jours après le durcissement du lockfile en 11.7.
L'Open Knowledge Format de Google Cloud est un standard, pas un produit : plongée dans OKF v0.1
tooling

L'Open Knowledge Format de Google Cloud est un standard, pas un produit : plongée dans OKF v0.1

Le 12 juin 2026, Google Cloud a publié l'Open Knowledge Format (OKF), une spécification ouverte qui formalise le pattern LLM-wiki en format portable et interopérable : un répertoire de fichiers markdown avec frontmatter YAML, un seul champ obligatoire (type), cinq recommandés, et zéro outillage requis. Le tweet de Google Cloud Tech du 16 juin a généré 117 000 vues en 24 heures et a fait de la spec l'annonce de format de connaissance la plus discutée de l'année. Cette longue lecture parcourt la spec v0.1 section par section, les choix de design qui la rendent délibérément minimale, ce que Google livre avec (un agent d'enrichissement pour BigQuery, un visualiseur HTML statique, trois bundles d'exemple, et une intégration native au Knowledge Catalog BigQuery), et la question ouverte que tout constructeur d'agents IA et toute équipe plateforme de données devraient suivre sur les six prochains mois.

Commentaires

Connexion Connectez-vous pour participer à la conversation.

Pas encore de commentaires. Soyez le premier à partager vos pensées.