PostCSS Adopted Staged Publishing. 685M Weekly Downloads Now Gated.

PostCSS가 격리된 배포 방식을 도입해 보안성을 강화했다.

2026년 6월, PostCSS는 OIDC와 관련된 문제를 제기하며 CI 기반의 배포가 공급망 공격의 위험을 증가시킨다고 경고했다. Andrey Sitnik는 수동 배포가 하드웨어 기반의 2FA를 사용해 공격자의 접근을 어렵게 할 수 있다고 주장했다. 이를 해결하기 위해 npm은 '격리된 배포' 방식을 도입하여 CI 빌드와 스테이지를 분리하고, 사람의 승인을 요구하는 시스템을 구축했다.

PostCSS adopts staged publishing to enhance security.

In June 2026, PostCSS raised concerns about the risks of CI-based publishing in relation to supply chain attacks. Andrey Sitnik argued that manual publishing using hardware-bound 2FA would significantly reduce the attack surface compared to CI publishing. To address these issues, npm introduced 'staged publishing', which separates CI builds and requires human approval before publication.