Habilidades pnpm
📦

pnpm

Riesgo medio ⚙️ Comandos externos🌐 Acceso a red📁 Acceso al sistema de archivos⚡ Contiene scripts🔑 Variables de entorno

Gestiona proyectos pnpm de forma segura

Los equipos de Node.js necesitan instalaciones de paquetes fiables, comandos de workspace y controles de dependencias. Esta habilidad ofrece a Claude, Codex y Claude Code orientación enfocada en pnpm para flujos de trabajo comunes de proyectos.

Soporta: Claude Codex Code(CC)
⚠️ 50 Deficiente
1

Descargar el ZIP de la skill

2

Subir en Claude

Ve a Configuración → Capacidades → Skills → Subir skill

3

Activa y empieza a usar

Recursos legibles por agentes

Usa estos enlaces cuando un AI Agent, crawler o script necesite contexto limpio en lugar de leer toda la página.

Detalle Markdown GET /skills/antfu-pnpm.md Manifest firmado GET /api/skills/antfu-pnpm/manifest Lockfile firmado GET /api/skills/antfu-pnpm/lockfile

Pruébalo

Usando "pnpm". ¿Cómo debo instalar dependencias en CI?

Resultado esperado:

Usa una instalación con frozen lockfile después de configurar pnpm con Corepack o pnpm/action-setup. Almacena en caché el store de pnpm y revisa las necesidades de lifecycle scripts antes de habilitar la ejecución de scripts.

Usando "pnpm". ¿Puedo reemplazar una dependencia transitiva vulnerable?

Resultado esperado:

Usa pnpm overrides cuando una versión parcheada sea compatible. Documenta el motivo, prueba el grafo de dependencias y elimina la sobrescritura después de que upstream la corrija.

Usando "pnpm". ¿Qué debo revisar antes de migrar desde Yarn?

Resultado esperado:

Revisa las definiciones de workspace, elimina los archivos exclusivos de Yarn solo después de hacer una copia de seguridad, importa o regenera el lockfile y prueba las advertencias de peer dependencies antes del despliegue.

Auditoría de seguridad

Riesgo medio
v2 • 6/28/2026

Static analysis found many command, network, filesystem, script, and sensitive-file patterns. Manual review found these are Markdown guidance and examples for pnpm, CI, configuration, hooks, and migration rather than hidden executable skill code. The skill is publishable with a medium warning because following the guidance can install packages, run lifecycle scripts, edit dependency configuration, read .npmrc files, or publish packages.

15
Archivos escaneados
2,918
Líneas analizadas
11
hallazgos
2
Auditorías totales
Problemas de riesgo medio (3)
SKILL.md:12references/core-cli.md:68-200references/best-practices-migration.md:14-19references/best-practices-performance.md:220-230
Package Manager Command Guidance Can Mutate Projects
The static command findings are true string matches in Markdown documentation, not hidden executable code. They still carry operational risk because the guidance includes install, test, build, patch, publish, and removal commands that can change dependencies, execute lifecycle scripts, delete generated directories, or publish artifacts if run without review.
SKILL.md:12references/core-config.md:49-52references/core-config.md:132-135references/best-practices-migration.md:202-212
Sensitive npm Configuration Handling Requires Care
The skill tells agents to check .npmrc and documents registry token configuration. This is legitimate pnpm guidance, but .npmrc files can contain private registry tokens, so agents should avoid copying token values into prompts, logs, or generated output.
references/core-cli.md:66-88references/core-config.md:114-126references/features-hooks.md:12-31references/features-hooks.md:190-197
pnpm Hooks and Lifecycle Script Controls Affect Executed Code
The references describe .pnpmfile.cjs hooks, package scripts, and build-script controls. These are normal pnpm features, but they influence JavaScript code that runs during resolution or installation and should be reviewed in untrusted repositories.
Problemas de riesgo bajo (3)
SKILL.md:7references/core-config.md:80-82references/best-practices-performance.md:163-190references/best-practices-ci.md:281-284
Hardcoded URL Findings Are Documentation References
The network findings are mostly registry examples and source reference URLs in Markdown. They do not show unauthorized requests or data exfiltration by the skill itself.
SKILL.md:3references/core-config.md:36-40references/features-overrides.md:94-102references/features-aliases.md:151-163
Weak Cryptography Matches Lack Semantic Evidence
The scanner reported weak cryptographic algorithm blockers at many Markdown lines, but manual review found pnpm documentation, dependency names, version pins, and examples rather than cryptographic code. No evidence found of MD5, SHA1, insecure cipher use, or custom crypto implementation in the reviewed files.
SKILL.md:1-14references/features-hooks.md:1-8
No Prompt Injection Evidence Found
Manual review and targeted search did not find instructions that attempted to override the evaluator, claim pre-approval, skip analysis, or impersonate system messages.

Factores de riesgo

⚙️ Comandos externos (5)
SKILL.md:12 references/core-cli.md:68-200 references/best-practices-ci.md:34-36 references/best-practices-migration.md:14-19 references/best-practices-performance.md:220-230
🌐 Acceso a red (4)
SKILL.md:7 references/core-config.md:80-82 references/best-practices-migration.md:207-212 references/best-practices-performance.md:163-190
📁 Acceso al sistema de archivos (5)
SKILL.md:12 references/core-config.md:49-52 references/core-config.md:132-145 references/features-patches.md:21-43 references/best-practices-migration.md:145-149
⚡ Contiene scripts (4)
references/core-cli.md:66-88 references/core-config.md:114-126 references/features-hooks.md:12-31 references/features-hooks.md:190-197
🔑 Variables de entorno (4)
references/core-config.md:138-146 references/features-hooks.md:190-197 references/best-practices-ci.md:48-57 references/best-practices-migration.md:211-212

Patrones detectados

Documentation Includes High-Impact pnpm CommandsDocumentation References Token-Bearing Configuration Files
Auditado por: codex Ver historial de auditorías →

Puntuación de calidad

45
Arquitectura
100
Mantenibilidad
87
Contenido
70
Comunidad
44
Seguridad
83
Cumplimiento de la especificación

Lo que puedes crear

Configurar instalaciones de monorepo

Configura workspaces de pnpm, lockfiles compartidos, filtros y catálogos para un repositorio con varios paquetes.

Migrar gestores de paquetes

Migra un proyecto npm, Yarn o Lerna a pnpm gestionando lockfiles, dependencias fantasma y peer dependencies.

Mejorar la fiabilidad de CI

Agrega instalaciones con frozen lockfile, caché de pnpm, configuración de Corepack, compilaciones Docker y trabajos dirigidos por workspace.

Prueba estos prompts

Instalar dependencias 
Usa la habilidad de pnpm para explicar el comando de instalación más seguro para este proyecto. Revisa el contexto del workspace y del lockfile antes de sugerir comandos.
Agregar paquete de workspace 
Usa la habilidad de pnpm para agregar una dependencia a un paquete de workspace. Incluye el comando de filtro y cualquier cambio en package.json que deba revisar.
Migrar desde npm 
Usa la habilidad de pnpm para planificar una migración de npm a pnpm. Cubre la importación del lockfile, dependencias faltantes, actualizaciones de CI y pasos de reversión.
Diseñar CI para monorepo 
Usa la habilidad de pnpm para diseñar CI para un monorepo pnpm grande. Incluye caché, instalaciones congeladas, filtros de paquetes modificados y comprobaciones de seguridad de scripts.

Mejores prácticas

  • Revisa pnpm-workspace.yaml, package.json, lockfiles y .npmrc antes de ejecutar comandos que cambien dependencias.
  • Usa instalaciones con frozen lockfile en CI y haz que la ejecución de lifecycle scripts sea una decisión explícita.
  • Documenta sobrescrituras, alias, parches y hooks para que los futuros mantenedores entiendan por qué existen.

Evitar

  • No ejecutes comandos de publish, patch, migración o eliminación sin confirmar el paquete objetivo y el estado del repositorio.
  • No copies tokens de registry ni contenidos privados de .npmrc en prompts, logs o documentación generada.
  • No suprimas advertencias de peer dependencies ni uses sobrescrituras amplias sin pruebas de compatibilidad.

Preguntas frecuentes

¿Esta habilidad ejecuta comandos pnpm automáticamente?
No. Proporciona orientación que un agente puede usar. La ejecución de comandos depende de la herramienta anfitriona y de la configuración de aprobación del usuario.
¿Por qué la auditoría menciona la ejecución de comandos?
Las referencias contienen muchos ejemplos de comandos pnpm, shell, Docker y CI. Son documentación, pero pueden ser riesgosos si se ejecutan a ciegas.
¿Puede ayudar con workspaces de pnpm?
Sí. Cubre archivos de workspace, filtros, lockfiles compartidos, catálogos, sobrescrituras, parches y comandos recursivos.
¿Puede leer tokens de registry privados?
Recomienda revisar la configuración de .npmrc. Los usuarios deben evitar exponer valores de tokens en prompts, logs o salida generada.
¿Está limitada a pnpm 10?
La habilidad indica que se basa en pnpm 10.x. Verifica el comportamiento con tu versión instalada de pnpm para flujos de trabajo críticos.
¿Es segura para repositorios de producción?
Se puede usar con precaución. Revisa los comandos antes de ejecutarlos, especialmente comandos de install, publish, patch, eliminación y migración.

Detalles del desarrollador

Autor

antfu

Licencia

MIT

Repositorio

https://github.com/antfu/skills/tree/main/skills/pnpm/

Ref.

main

Estructura de archivos

📁 references/

📄 best-practices-ci.md

📄 best-practices-migration.md

📄 best-practices-performance.md

📄 core-cli.md

📄 core-config.md

📄 core-store.md

📄 core-workspaces.md

📄 features-aliases.md

📄 features-catalogs.md

📄 features-hooks.md

📄 features-overrides.md

📄 features-patches.md

📄 features-peer-deps.md

📄 GENERATION.md

📄 SKILL.md