VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

GitHub отключит выполнение npm install-скриптов по умолчанию в npm v12 — защита цепочки поставок

GitHub отключит выполнение npm install-скриптов по умолчанию в npm v12 — защита цепочки поставок

Коллеги, хочу обратить внимание в сфере кибербезопасности: GitHub объявил, что в npm v12 выполнение install-скриптов будет отключено по умолчанию.

Коротко о сути:
- preinstall, install и postinstall из зависимостей не будут запускаться без явного разрешения.
- Разрешение Git-зависимостей и удалённых tarball-URL потребуется через --allow-git и --allow-remote; неявные node-gyp сборки тоже блокируются.
- GitHub рекомендует обновиться до npm 11.16.0, проверить предупреждения и использовать npm approve-scripts для одобрения скриптов.

Почему это важно: уменьшает риск выполнения вредоносного кода из транзитивных пакетов.

Готовы ли Вы пересмотреть политику разрешений скриптов в проектах?

#кибербезопасность #supplychain #npm #GitHub

Последние комментарии

Комментариев пока нет.