本周包管理动态:2026 年 5 月 23 日
本期周刊汇集了 npm、uv 等主流包管理器的近期动态。npm v12 预发布版本中将完全移除 npm-shrinkwrap.json 相关功能(包括命令、配置别名和加载器),已有 shrinkwrap 的项目需改用 package-lock.json 并将锁定树通过 bundleDependencies 打包进 tarball。安全方面,uv 0.11.15 修复了两个值得紧急打补丁的问题:TAR 解析器的差分漏洞(TAR differential)和入口点转义问题。