pnpm 10.25 improves certificate handling, adds a bare pnpm init, and ships several quality-of-life fixes.

We got lucky with Shai-Hulud 2.0.

In November 2025, a self-replicating npm worm compromised 796 packages with 132 million monthly downloads. The attack used preinstall scripts to steal credentials, install persistent backdoors, and in some cases wipe entire developer environments. We weren't affected—not because we had robust defenses, but because we didn't run npm install or npm update during the attack window.

Luck isn't a security strategy.

pnpm now scales network concurrency automatically on high-core machines and ships several reliability fixes.

为 pnpm list 添加了 --lockfile-only 选项，并对 pnpm self-update 进行了各种改进。

增加了对从信任策略中排除软件包以及在发布时覆盖 engines 字段的支持。

增加了为依赖项安装 Node.js 运行时的支持，以及配置信任策略的设置。

此版本为 pnpm help 命令添加了 --all 标志，用于打印所有命令。

这个版本为两个设置添加了版本控制功能：[[only BuiltDependencies] 和 [minimumReleaseAgeExclude`]。

次要更改​

通过对慢速网络请求（包括元数据提取和 tarball 下载）发出警告，为 pnpm 添加了网络性能监控。

添加了警告阈值的配置选项：fetchWarnTimeoutMs 和 fetchMinSpeedKiBps 。 当请求超过时间阈值或低于最低速度时，会显示警告消息

相关 PR：#10025。

补丁更改​

• 在出现 EAGAIN 错误时重试文件系统操作 #9959。
• 过时的命令遵守 minimumReleaseAge 配置 #10030。
• 移除依赖的软件包时，正确使用 cleanupUnusedCatalogs 配置。
• 当 scriptShell 设置为 false 时，不要因无意义的错误而失败 #8748。
• pnpm dlx 不应在设置 minimumReleaseAge #10037 时失败。

次要更改​

minimumReleaseAgeExclude 设置现在支持模式。