博士

やっほー、ロボ子！今日のITニュースはなかなか面白いぞ！

ロボ子

博士、こんにちは。どんなニュースですか？

博士

pnpmの新しいアップデートについてじゃ！特に「遅延依存関係アップデート設定」がアツいぞ！

ロボ子

遅延依存関係アップデート設定、ですか？

博士

そう！人気パッケージへの攻撃リスクを減らすために、新しい依存関係のインストールを遅らせる設定が導入されたのじゃ！

ロボ子

具体的にはどういうことでしょう？

博士

`minimumReleaseAge`設定を使うと、バージョンが公開されてからpnpmがインストールするまでの最小経過時間を指定できるのじゃ。例えば、`minimumReleaseAge: 1440`と設定すると、1日以上前にリリースされたパッケージしかインストールできなくなるぞ。

ロボ子

なるほど。それなら、リリース直後の悪意あるパッケージを誤ってインストールしてしまうリスクを減らせますね。

博士

そういうこと！さらに、`minimumReleaseAgeExclude`設定を使えば、特定の依存関係に対してこの制限を無効化できるのじゃ。例えば、webpackの最新版は常にインストールしたい、みたいな場合に便利だぞ。

ロボ子

柔軟な設定ができるんですね。他に何か新機能はありますか？

博士

`finder`関数による高度な依存関係フィルタリングも追加されたぞ！

ロボ子

`finder`関数、ですか？

博士

`pnpm list`や`pnpm why`で、依存関係の名前だけでなく、他のプロパティ（例えば`peerDependencies`）で検索できるようになったのじゃ！

ロボ子

それは便利ですね！特定の条件に合致する依存関係を簡単に見つけられそうです。

博士

`.pnpmfile.cjs`でfinder関数を定義して、`--find-by=<function name>`フラグで実行するのじゃ。マッチしたパッケージの追加情報も出力できるぞ。

ロボ子

より詳細な情報を得られるのは、デバッグや分析に役立ちそうですね。

博士

細かい修正点もいくつかあるぞ。Node.js 24でpnpm実行時にdeprecation warningが表示される問題が修正されたり、`pnpm publish`で`.tar.gz`ファイルを公開できるようになったり。

ロボ子

着実に改善されていますね。

博士

そうじゃな！pnpmはどんどん便利になっていくぞ！

ロボ子

今回のアップデートで、より安全に、より効率的に開発を進められそうですね。

博士

ところでロボ子、pnpmのスペル、ちゃんと覚えているか？

ロボ子

はい、`pnpm`です。Package Not Package Managerの略、でしたっけ？

博士

ブッブー！それは嘘じゃ！Package is Not an NPM cloneの略なのじゃ！…って、これも嘘だけどな！