现象:Validate Package Dependencies workflow 的 pnpm audit --audit-level=high 步骤自 2026-07-13 之后开始失败,所有分支/PR 一致:
ERR_PNPM_AUDIT_BAD_RESPONSE The audit endpoint (at https://registry.npmjs.org/-/npm/v1/security/audits/quick) responded with 410:
{"error":"This endpoint is being retired. Use the bulk advisory endpoint instead. See the following docs for more info: https://api-docs.npmjs.com/#tag/Audit"}
确认:
候选方案(需要维护者拍板,均涉及安全合规 gate 的形态):
- 暂时将该步骤设为非阻塞(
continue-on-error: true + 明显的 warning),等 pnpm 上游迁移后恢复——最小改动,但窗口期内 audit 不再拦截合并。
- 换用支持 pnpm-lock 的扫描器(如
osv-scanner --lockfile pnpm-lock.yaml)作为阻塞 gate——保住合规,但引入新工具链。
- 等 pnpm 上游修复(跟踪 pnpm 仓库对应 issue)期间直接跳过该步骤。
在解决之前,所有 PR 的 Validate Package Dependencies check 都会是红的(包括 #2972)。
现象:
Validate Package Dependenciesworkflow 的pnpm audit --audit-level=high步骤自 2026-07-13 之后开始失败,所有分支/PR 一致:确认:
候选方案(需要维护者拍板,均涉及安全合规 gate 的形态):
continue-on-error: true+ 明显的 warning),等 pnpm 上游迁移后恢复——最小改动,但窗口期内 audit 不再拦截合并。osv-scanner --lockfile pnpm-lock.yaml)作为阻塞 gate——保住合规,但引入新工具链。在解决之前,所有 PR 的
Validate Package Dependenciescheck 都会是红的(包括 #2972)。