VMTech
+381 11 4150 20024/7 Razgovarajmo
← Svi Instagram insajti VMTECH · INSTAGRAM

GitHub će u npm v12 po podrazumevanju onemogućiti izvršavanje npm install-skripti — zaštita lanca snabdevanja

GitHub отключит выполнение npm install-скриптов по умолчанию в npm v12 — защита цепочки поставок

Kolege, želim da skrenem pažnju u oblasti sajber bezbednosti: GitHub je saopštio da će u npm v12 po podrazumevanju onemogućiti izvršavanje install-skripti.

Ukratko:
- preinstall, install i postinstall iz zavisnosti neće se pokretati bez izričitog odobrenja.
- Odobrenje za Git-zavisnosti i udaljene tarball-URL-ove biće neophodno preko --allow-git i --allow-remote; implicitne node-gyp kompilacije će takođe biti blokirane.
- GitHub preporučuje ažuriranje na npm 11.16.0, proveru upozorenja i korišćenje npm approve-scripts za odobravanje skripti.

Zašto je ovo važno: smanjuje rizik od izvršavanja zlonamernog koda iz tranzitivnih paketa.

Da li Ste spremni da preispitate politiku dozvola za skripte u Vašim projektima?

#sajberbezbednost #lanacsnabdevanja #npm #GitHub

Poslednji komentari

Još nema komentara.