pnpm 11.5 adds a hoistingLimits setting for controlling how far dependencies hoist in nodeLinker: hoisted installs, replaces the interactive prompt library to fix scrolling in long choice lists, recognizes staged publishes in the trust scale, and ships several install and dist-tag fixes.

pnpm 11.4 关闭了有关锁文件完整性、凭证范围、git 解析、补丁文件和依赖项别名的一系列供应链漏洞，默认情况下使让 tarball 完整性不匹配导致安装硬失败（通过具有狭窄范围的“--update-checksums”选入），并将 pnpm runtime set 更改为默认写入devEngines.runtime 而不是 engines.runtime。

pnpm 11.3 新增了对 npm 分阶段发布功能（pnpm stage）的支持；引入了全新的 trustLockfile 设置，用于跳过对已受信任的锁文件进行的供应链验证环节；此外，还提供了 pnpm pkg、pnpm repo 和 pnpm set-script 命令的原生实现。 此外，它为 pack 和 publish 命令新增了 --skip-manifest-obfuscation 标志，并降低了在大型工作区中执行 minimumReleaseAge 和 trustPolicy 验证时的内存占用。

pnpm 11.2 引入了实验性的选择加入 pacquet（pnpm 的 Rust 移植版）作为安装后端，扩展了 配置依赖项 以安装一层 optionalDependencies（因此 esbuild/swc 平台二进制模式也适用于配置依赖项），连接了文档中长期存在的 pnpm login --scope 标志，并在 pnpm outdated 和 pnpm update --interactive 中显示运行时入口（Node.js、Deno、Bun）。

pnpm 11.1 新增了一些命令——pnpm audit signatures、pnpm bugs 和 pnpm owner——同时还支持从任意名称的注册表安装（包括 GitHub Packages npm 注册源的内置别名），能够在 CI 中跳过运行时安装，以及修复了一些问题。

pnpm 11 来了！ 此版本加强了 v10 周期中引入的安全默认设置，放弃了 npm CLI 发布回退，转而采用原生实现，将每个包的 JSON 存储索引替换为单个 SQLite 数据库，并将全局安装隔离，使其不再相互干扰。

它还需要 Node.js 22 或更高版本——pnpm 本身现在是纯 ESM。

从 v10 升级？ 请参阅 从 v10 迁移到 v11 指南。 大多数配置更改都是机械性的，可以通过 pnpm-v10-to-v11 代码转换来应用。

pnpm 10.32 为 pnpm approve-builds 添加了 --all 标志，用于在不显示交互式提示的情况下批准所有待处理的构建。

pnpm 10.31 在更新 pnpm-workspace.yaml 时保留注释和格式，并包含大量错误修复。

pnpm 10.30 重新设计了 pnpm why，以显示反向依赖关系树，从而更容易理解为什么安装了一个软件包。

pnpm 10.29 为 pnpm dlx 添加了 catalog: 协议支持，允许在 pnpm-workspace.yaml 中配置 auditLevel，支持裸 workspace: 说明符，并修复了几个错误。