Skip to content

chore: gate npm install with min-release-age#2

Draft
tapih wants to merge 3 commits into
mainfrom
claude/cooldown-minimumReleaseAge
Draft

chore: gate npm install with min-release-age#2
tapih wants to merge 3 commits into
mainfrom
claude/cooldown-minimumReleaseAge

Conversation

@tapih
Copy link
Copy Markdown

@tapih tapih commented May 20, 2026

Summary

What

.npmrc を作成し min-release-age=7 (7 days) を設定する。

Why

knowledge-work/knowledgework #116122 のサプライチェーン対策 (検疫期間設定)。 milo audit (npm.tsv) で npm-only project が cooldown 未設定として検出された。 npm v11.10+ から .npmrc#min-release-age が native サポート。

Note

min-release-agenpm v11.10+ で effective (それ未満では silently ignored、 設定自体は無害)。 CI / dev 環境の npm version が v11.10 以上であることを別途確認推奨。

References

  • knowledge-work/knowledgework#116122

@tapih @claude
chore: add .npmrc#min-release-age cooldown (#116122)
1bcd6b5 
milo audit で npm-only project が cooldown 未設定として検出されたため、
`.npmrc#min-release-age=7` (7 days) を追加する。 npm v11.10+ で effective。

Refs: knowledge-work/knowledgework#116122

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
@tapih tapih self-assigned this May 20, 2026
tapih and others added 2 commits May 20, 2026 23:29
@tapih @claude
chore: deny lifecycle scripts via .npmrc (#116124)
ae6e6b6 
milo policy MUST: 全 JS / TS repo に .npmrc#ignore-scripts=true。
cross-PM (npm 経路 等) で lifecycle script を一律 block する kill switch を
追加し、 save-exact=true も併設する。

Refs: knowledge-work/knowledgework#116124

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
@tapih
chore: pin node via mise
d7087a6 
cooldown (npm v11.10+ min-release-age) を有効化するため node を mise.toml
で固定。 node 24 系は npm 11.x をバンドルしているため min-release-age を
そのまま使える。
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

@tapih tapih

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@tapih