JavaScriptのパッケージ管理ツール「npm」において、依存パッケージのインストール時に自動実行されるスクリプトを、標準では実行しない方針への変更が予定されています。2026年7月リリース予定の「npm v12」以降が対象で、これまで`npm install`を実行するだけで依存パッケージ側のスクリプトが走っていた挙動が、デフォルトではブロックされるようになります。セキュリティ上のリスク軽減を主な目的とした変更とみられます。
これはJavaScriptエコシステム全体にとって、かなり大きな節目になる変更です。
そもそも`npm install`時の自動スクリプト実行(`preinstall` / `postinstall` などのライフサイクルスクリプト)は、長年にわたってサプライチェーン攻撃の温床として指摘されてきました。悪意のあるパッケージが公開レジストリに紛れ込んだ場合、開発者がインストールした瞬間に任意のコードが実行されてしまう——この仕組みは「便利さ」と「危うさ」が表裏一体でした。デフォルト無効化は、その構造的なリスクを根から断つ方向性です。
開発現場への影響はどの程度か
とはいえ、現場が受けるインパクトは小さくありません。ネイティブアドオン(C/C++でビルドが必要なパッケージ)や、インストール後処理に依存している一部のツールチェーンは、スクリプトが動かないと正常にセットアップできないケースがあります。これらは今後、明示的に許可する設定を加えるか、パッケージ側が代替手段を用意する必要が出てきます。
「今すぐ壊れる」というわけではなく、オプトインで従来の挙動に戻す手段は残されると想定されますが、既存プロジェクトのCI/CDパイプラインや社内ツールを棚卸しする機会にはなりそうです。
「待つべきか・対応を急ぐべきか」
リリースは2026年7月予定とのことなので、現時点で即座に何かを変える必要はありません。ただし、npmをプロダクション環境や自動化パイプラインで使っているチームは、v12のリリースノートが出た段階で影響範囲を確認しておくのが無難です。個人開発や学習用途であれば、当面は「挙動が変わった理由」を把握しておく程度で十分でしょう。
【編集部補足】パッケージマネージャーのデフォルト挙動変更は、一般にエコシステム全体への普及に時間がかかる傾向があります。npmの場合、Node.jsのバージョン管理と組み合わせて使っているプロジェクトも多く、v12への移行ペースは開発現場によってかなり差が出ると見ています。公式の移行ガイドが出たタイミングで改めて内容を確認することをおすすめします。
関連サービス(広告)
AIの挙動を実際に試してみたい方は、ブラウザだけで本格的なAI画像生成ができる ConoHa AI Canvas
で、出力傾向を自分の手で確かめてみるのも面白い切り口です。
