サプライチェーン攻撃の流れでたまたま最近調べていたので、せっかくなので対象バージョンやどのPull Requestで導入されたものなのかなどを細かくまとめます。
npm
npm v11.10.0 から使える、単位は日。
.npmrc
min-release-age=7yarn
yarn v4.10.0 から使える、単位は分。
- Release v4.10.0 · yarnpkg/berry
- feat: implement
npmMinimalAgeGateandnpmPreapprovedPackagesconfig options by bienzaaron · Pull Request #6901 · yarnpkg/berry
.yarnrc.yml
npmMinimalAgeGate: 10080yarn v4.11.0 からは、文字列での指定も可能。
- Release v4.11.0 · yarnpkg/berry
- Core: Create DURATION settings type by clemyan · Pull Request #6942 · yarnpkg/berry
.yarnrc.yml
npmMinimalAgeGate: "7d"pnpm
pnpm v10.16 から使える、単位は分。
- Release pnpm 10.16 · pnpm/pnpm
- feat: set minimumReleaseAge to delay new versions of dependencies from being installed by zkochan · Pull Request #9957 · pnpm/pnpm
pnpm-workspace.yaml
minimumReleaseAge: 10080bun
bun v1.3 から使える、単位は秒。
- Bun 1.3 | Bun Blog
- Release Bun v1.3 · oven-sh/bun
- bun install: support for
minimumReleaseAgeby RiskyMH · Pull Request #22801 · oven-sh/bun
bunfig.toml
[install]
minimumReleaseAge = 604800deno
deno v2.5.5 から使える、単位は分。
もしくは文字列での指定も可能 (ISO 8601 や RFC3339形式)。
- Release v2.5.5 · denoland/deno
- feat(unstable): ability to only install dependencies older than a certain date by dsherret · Pull Request #30752 · denoland/deno
- feat(unstable): ability to specify minimum dependency age in deno.json file by dsherret · Pull Request #31007 · denoland/deno
deno.json
{
"minimumDependencyAge": 10080
}deno.json
{
"minimumDependencyAge": "P7D"
}