Package Managers Need to Cool Down: npm 7 Günlük Bekleme Zorunluluğunu Neden Reddediyor? (2026)

2026’da JavaScript ekosistemindeki en büyük güvenlik tartışması, teknik bir özellik değil, bir felsefi tercih üzerine kuruldu: Package Managers Need to Cool Down. pnpm ve Yarn 2025 sonunda yeni paket sürümlerini 7 gün beklemeyi zorunlu kıldı; npm ise hâlâ anında indirme politikasını koruyor. Bu fark, sadece bir ayar değil — bir güvenlik kırılma noktası.

Neden 7 Gün? Bilimsel Temeller ve Supply Chain Saldırıları

2025 yılında gerçekleşen 10 büyük supply chain saldırısının 8’i, bir paketin yayınlandığı andan itibaren 7 gün içinde kuruldu. Saldırganlar, kimlik çalınmış bir geliştirici hesabıyla kötü niyetli bir paket yayınlıyor ve CI/CD sistemlerinin hemen indirmesini bekliyor. pnpm ve Yarn, bu süreyi minimumReleaseAge (pnpm) ve npmMinimalAgeGate (Yarn 4.10) ile engelliyor.

minimumReleaseAge Nedir? (pnpm)

minimumReleaseAge, pnpm’de bir paketin yayınlanmasından sonra en az ne kadar süre geçmesi gerektiğini tanımlayan bir yapılandırma. Varsayılan olarak 1440 dakika (24 saat) veya 10080 dakika (7 gün) olarak ayarlanabilir. Güvenilen paketler (@microsoft/*, @google/*) bu kuraldan muaf tutulabilir.

package age gate Nedir? (Yarn 4.10)

Yarn 4.10, package age gate olarak adlandırdığı bu mekanizmayla hem doğrudan hem de geçişli bağımlılıklara uygulanabilir bir bekleme süresi getirdi. Bu, tüm bağımlılık zincirindeki riski tek bir noktada azaltıyor.

npm vs pnpm: Güvenlik Farkı Nedir?

npm, 2025’in başında --before bayrağını sundu — ancak bu, otomatik bir güvenlik duvarı değil. Geliştirici, manuel olarak npm install --before=2025-10-01 yazmalı. CI/CD boru hatlarında bu, işlenemez.

npm’in 2,1 Milyon Paketindeki Risk

Dependabot, Renovate ve Snyk gibi araçlar, her gün milyonlarca otomatik güncelleme tetikliyor. Bir saldırgan, 01:00’da kötü bir paket yayınladığında, 01:05’te 5.000 projede çalışıyor olabilir. npm minimumReleaseAge yoksa, bu bir kırılma noktasıdır.

Yüksek Riskli Sektörlerdeki Reaksiyon

Finans ve sağlık sektörlerinde, geliştiriciler @josepderiu/npm-minimum-age-validation gibi CLI araçlarıyla npm’i kendi CI/CD sistemlerine kapatıyor. 2025 sonunda bu araç, 0 indirmeyle başlarken, 2026 itibarıyla Fortune 500 şirketlerinin %18’i tarafından kullanılıyor.

Geliştiriciler İçin Uygulama Rehberi: 7 Günlük Beklemeyi Nasıl Uygularsın?

npm’i kullanıyorsan, güvenlik için geçici çözümlerle başa çıkmak zorundasın. İşte 2026 için pratik adımlar:

• pnpm’i CI/CD’de kullan: pnpm.dev’den kurulum talimatlarını uygula.
• Yarn 4.10’a geç: yarnpkg.com’da npmMinimalAgeGate: 10080 ayarını ekle.
• npm için bir proxy yaz: npm-minimum-age-validation aracını CI pipeline’ına entegre et.
• Security Policy oluştur: "7 günden önceki paketler kabul edilmez" kuralını şirketin güvenlik politikasına ekle.
• CVE’ler hariç tut: Kritik güvenlik güncellemeleri (CVE) 7 gün bekleme kuralından muaf olmalı — bu dengeli bir yaklaşımdır.

2026’da, npm security flaw olarak görülen bu eksiklik, birçok şirketin "npm kullanamıyoruz, çünkü güvenlik sertifikasyonu sağlamıyor" demesine neden olabilir. SOC 2 Type II ve ISO 27001 gibi sertifikalar, artık dependency cooldown mekanizmasını şart koşmaya başlıyor.

İşte bu yüzden, Package Managers Need to Cool Down sadece bir blog yazısı değil — bir endüstri çağrısı. pnpm ve Yarn, 7 günlük beklemeyle güvenli bir gelecek inşa ediyor. npm, neden bu bekleme süresini kabul etmiyor? npmjs.com’da bu tartışmayı takip et.