GitHub добавляет ручное одобрение публикаций в npm: команда publish теперь ставит пакет в очередь

GitHub 20 мая 2026 года объединил команду npm stage в npm CLI версии 11.15.0 и обновил документацию реестра. Привычная команда npm publish теперь лишь отправляет пакет в очередь на публикацию. Чтобы пакет стал доступен разработчикам, мейнтейнеру нужно дополнительно подтвердить релиз с двухфакторной аутентификацией.

Это первое серьёзное изменение модели публикации за всю историю npm. Реестр npm ежедневно обрабатывает миллиарды загрузок и является ключевым элементом современного JavaScript-стека. Изменение направлено на повышение безопасности и предотвращение случайных или вредоносных публикаций.

Решение связывают с ростом практики «vibe coding» — стиля разработки, при котором код пишется быстро и с использованием AI-инструментов, что увеличивает риск ошибок и уязвимостей. Новый механизм требует от мейнтейнеров дополнительного осознанного действия перед релизом.

Теперь процесс публикации выглядит так: разработчик выполняет npm publish, пакет попадает в очередь, а затем в интерфейсе npm или через CLI необходимо подтвердить публикацию с помощью 2FA. Только после этого пакет становится видимым в реестре.

Нововведение затрагивает всех мейнтейнеров пакетов npm. Ожидается, что это снизит количество случайных релизов и повысит качество пакетов. Сообщество разработчиков в целом положительно воспринимает меру, хотя некоторые отмечают дополнительный шаг в процессе.

npm является крупнейшим реестром пакетов для JavaScript, используемым в миллионах проектов. Изменение модели публикации впервые за более чем десятилетнюю историю реестра подчёркивает серьёзность подхода GitHub к безопасности цепочки поставок. В будущем возможны дополнительные меры, такие как автоматическое сканирование кода перед публикацией.