pnpm 10.30 redesigns pnpm why to show a reverse dependency tree, making it much easier to understand why a package is installed.

pnpm 10.29 adds catalog: protocol support to pnpm dlx, allows configuring auditLevel in pnpm-workspace.yaml, supports a bare workspace: specifier, and includes several bug fixes.

У pnpm 10.28 представлено новий хук beforePacking для налаштування package.json під час публікації, покращено продуктивність інсталяції з використанням фільтрів та виправлено кілька помилок.

pnpm 10.27 додає нове налаштування для ігнорування перевірок політики довіри для старих версій пакунків, вводить реєстр проєктів для глобального очищення віртуального сховища та включає кілька виправлень помилок.

2025 рік став переломним для pnpm. Хоча нашою основною метою було переосмислення моделі безпеки управління пакунками, ми також досягли значного поліпшення продуктивності та зручності роботи розробників.

Від стандартного блокування скриптів життєвого циклу до впровадження глобального віртуального сховища — ось огляд основних функцій, реалізованих у 2025 році.

pnpm 10.26 вводить більш суворі стандартні налаштування безпеки для залежностей, що розміщуються на git, додає allowBuilds для детальних дозволів на виконання скриптів та включає нове налаштування для блокування екзотичних перехідних залежностей.

pnpm 10.25 покращує обробку сертифікатів, додає базовий pnpm init та містить кілька виправлень, що покращують якість роботи.

We got lucky with Shai-Hulud 2.0.

In November 2025, a self-replicating npm worm compromised 796 packages with 132 million monthly downloads. The attack used preinstall scripts to steal credentials, install persistent backdoors, and in some cases wipe entire developer environments. We weren't affected—not because we had robust defenses, but because we didn't run npm install or npm update during the attack window.

Luck isn't a security strategy.

pnpm тепер автоматично масштабує мережевий паралелізм на машинах з великою кількістю ядер і містить кілька виправлень для підвищення надійності.

Додано опцію --lockfile-only до pnpm list та різні покращення до pnpm self-update.