npm v12: cómo preparar tus proyectos antes de que cambie su funcionamiento

La próxima versión "major" de npm, la v12, llega en julio de 2026 con cambios drásticos en la forma en que instalamos dependencias. Cosas que antes eran automáticas van a dejar de serlo y necesitarán tu aprobación explícita. Si no te preparas, de la noche a la mañana tus proyectos podrían dejar de compilar o de instalarse correctamente.

Para evitar problemas, el primer paso es actualizar ya a npm 11.16.0 o superior. Al ejecutar tus instalaciones habituales, verás advertencias que te indican qué procesos serán bloqueados en el futuro.

Los tres cambios principales que debes tener en cuenta para prepararte son los siguientes:

• allowScripts: por defecto, npm dejará de ejecutar scripts de instalación (preinstall, postinstall, etc.). Esto incluye procesos de compilación nativa como node-gyp. Deberás usar npm approve-scripts para autorizar los paquetes de confianza, lo cual generará una lista blanca en tu package.json.
• --allow-git: las dependencias alojadas en Git ya no se resolverán automáticamente. Deberás habilitarlas explícitamente para evitar que archivos .npmrc maliciosos sobrescriban tu configuración.
• --allow-remote: las descargas desde URLs remotas (como tarballs directos) estarán bloqueadas por defecto. Solo se permitirán si usas este flag.

Para gestionar esto, utiliza npm approve-scripts --allow-scripts-pending para identificar qué paquetes necesitan permisos. Una vez revisados, aprueba los que consideres seguros y añade los cambios en tu archivo package.json.

Es un proceso manual, pero necesario para blindar tu cadena de suministro.

Está claro que la seguridad de la cadena de suministro es un problema desde hace años. Y npm es una de las herramientas más utilizadas y más vulneradas de todas, con muchos casos de paquetes atacados con éxito. Así que hay que hacer algo, y una mayor seguridad implica mayores obstáculos y menos comodidad.

Esto, sin duda, va a ser menos cómodo para todos.