npm 安全更新：把握令牌变更与发布体系的迁移参考指南

本文深入解读 npm 近期发布的重大安全更新，重点分析“经典令牌（Classic Token）全面停用”背后的安全动因，以及细粒度访问令牌（Granular Access Token）、可信发布（Trusted Publishing/OIDC）、双因素身份验证升级等举措对生态安全的深远影响。文章不仅总结了官方更新内容，还从供应链攻击、令牌生命周期风险、CI/CD 安全治理等角度进行深度思考，帮助开发者理解此次更新的重要性，并提供迁移策略与最佳实践，确保在 2025 年 12 月 9 日经典令牌彻底撤销前顺利完成过渡…