npm 12 kommt bald raus. Die erste Version hat interessante Changes. Sie enternen npm shrinkwrap. Hat wahrscheinlich nie einer wirklich benutzt. Die meisten werden lockfiles benutzen, die aber für Libarys im prinzip nutzlos sind, wenn in der package.json Semver-Specifier sind, die eine Range zulassen (z. B. ^ und ~). Man soll jetzt bundleDependencies in der package.json verwenden. Das tar enthält dann alle Dependencys. Vielleicht ein bisschen suboptimal, wenn wir dann jetzt “left-pad” in derselben Version in der halben Registry mit bundlen. Aber immerhin könnte das die Supply-Chain-Risiken vermindern. Bisschen schade, dass man nicht auch einfach auf ne bestimmte Version locken kann, sodass npm immerhin noch deduplizierung anwenden kann.