npm deja de ejecutar automáticamente scripts, dependencias de Git y URLs remotas al instalar paquetes
La señal
npm, el gestor de paquetes más usado del ecosistema JavaScript, cambia su comportamiento por defecto: los scripts de instalación automática, la resolución de dependencias desde repositorios Git y la descarga de dependencias desde URLs remotas dejan de ejecutarse sin autorización explícita del desarrollador. Además, los tokens de acceso granular que permitían evadir la verificación en dos pasos empiezan a perder capacidades administrativas en agosto de 2026 y no podrán publicar paquetes directamente a partir de enero de 2027.
El supuesto que se rompe
Que instalar una dependencia es, por sí mismo, un acto seguro, sin que el código de esa dependencia tenga la posibilidad de ejecutarse automáticamente en el equipo del desarrollador o en una canalización de integración continua.
Qué observar
Qué automatizaciones, integraciones o procesos de publicación de paquetes de la organización dependen del comportamiento anterior de npm, y si existe un plan para adaptarse a los nuevos esquemas de aprobación antes de que los tokens actuales pierdan la capacidad de publicar directamente en enero de 2027.