npm v12, 2026년 7월부터 install 시 의존성 스크립트·Git·원격 URL 실행을 기본 차단

npm v12는 보안 강화를 위해 npm install의 기본 동작을 변경해 의존성의 preinstall, install, postinstall 및 Git·원격 URL 의존성 처리를 명시적 허용 방식으로 전환합니다. 해당 변경은 npm 11.16.0 이상에서 경고 형태로 미리 확인할 수 있으며, 신뢰할 패키지는 npm approve-scripts로 allowlist에 등록해야 합니다.

이번 변경은 패키지 설치 과정에서 발생할 수 있는 공급망 공격과 임의 코드 실행 위험을 줄이려는 npm의 기본 보안 모델 전환으로 해석됩니다. 다만 native node-gyp 빌드나 Git 기반 의존성을 쓰는 프로젝트는 CI/CD와 설치 절차를 사전에 점검해야 하며, 조직 단위의 의존성 승인 정책이 더 중요해질 전망입니다.

Upcoming breaking changes for NPM v12