GitHub отключит выполнение npm install-скриптов по умолчанию в npm v12 — защита цепочки поставок

Коллеги, хочу обратить внимание в сфере кибербезопасности: GitHub объявил, что в npm v12 выполнение install-скриптов будет отключено по умолчанию.
Коротко о сути:
- preinstall, install и postinstall из зависимостей не будут запускаться без явного разрешения.
- Разрешение Git-зависимостей и удалённых tarball-URL потребуется через --allow-git и --allow-remote; неявные node-gyp сборки тоже блокируются.
- GitHub рекомендует обновиться до npm 11.16.0, проверить предупреждения и использовать npm approve-scripts для одобрения скриптов.
Почему это важно: уменьшает риск выполнения вредоносного кода из транзитивных пакетов.
Готовы ли Вы пересмотреть политику разрешений скриптов в проектах?
#кибербезопасность #supplychain #npm #GitHub


Последние комментарии
Комментариев пока нет.