pnpm v10为何不自动执行package.json脚本？

1. 问题背景与现象描述

在升级至 pnpm v10 后，部分开发者反馈执行 pnpm install 时，package.json 中定义的 preinstall、postinstall 等生命周期脚本未被自动触发。这一行为变化导致依赖初始化失败、本地构建流程中断，甚至 CI/CD 流水线报错。

该问题并非 bug，而是 pnpm v10 引入的一项安全机制变更：默认禁用安装阶段的生命周期脚本执行，以防止恶意包通过 postinstall 执行任意代码，提升整体安全性与性能稳定性。

2. 核心机制解析：hook-scripts 与 enable-pre-post-scripts

从 pnpm v10 开始，引入了更细粒度的脚本控制策略。关键配置项如下：

• enable-pre-post-scripts：控制是否允许执行 preinstall、postinstall、prepublish 等钩子脚本。
• hook-scripts：定义哪些脚本可以在安装过程中运行，支持 ignore、allow、ask 三种模式。

默认情况下，enable-pre-post-scripts=false，即禁止自动执行这些脚本，除非显式启用。

3. 常见受影响场景分析

4. 解决方案对比与实施建议

以下是几种主流解决方案及其适用场景：

1. 方案一：通过 .npmrc 全局启用
   在项目根目录创建或修改 .npmrc 文件：
   

   enable-pre-post-scripts=true

   此方式作用于整个项目，推荐用于可信团队环境。
2. 方案二：在 package.json 中显式声明
   添加字段以启用脚本执行：
   

   {
     "pnpm": {
       "enablePrePostScripts": true
     }
   }

   更具可读性，便于版本控制追踪变更。
3. 方案三：命令行临时启用（调试用）
   pnpm install --config.enable-pre-post-scripts
   适合排查问题，不建议长期使用。
4. 方案四：结合 hook-scripts 精细化控制
   在 .npmrc 中设置：
   

   hook-scripts=allow

   可配合白名单机制实现更安全的脚本执行策略。

5. 安全考量与最佳实践流程图

在启用脚本执行的同时，需权衡安全风险。以下为推荐决策流程：

graph TD
    A[执行 pnpm install] --> B{是否需要运行 pre/postinstall?}
    B -->|否| C[保持默认设置, 安全优先]
    B -->|是| D[检查脚本来源是否可信]
    D --> E{是否为内部项目?}
    E -->|是| F[启用 enable-pre-post-scripts=true]
    E -->|否| G[审查脚本内容]
    G --> H[确认无远程执行或敏感操作]
    H --> I[局部启用并记录原因]
    I --> J[定期审计依赖变更]

6. 迁移指南与自动化检测脚本

为平滑过渡至 pnpm v10，建议执行以下步骤：

• 检查现有项目中是否存在 preinstall、postinstall 等脚本。
• 使用以下 Shell 脚本批量检测：

#!/bin/bash
for dir in */; do
  if [ -f "$dir/package.json" ]; then
    if grep -q '"\(pre\|post\)install"' "$dir/package.json"; then
      echo "⚠️  $dir 存在 install 钩子脚本"
    fi
  fi
done

输出结果可用于评估升级影响面，并制定针对性配置策略。