GitHub će u npm v12 po podrazumevanju onemogućiti izvršavanje npm install-skripti — zaštita lanca snabdevanja

Kolege, želim da skrenem pažnju u oblasti sajber bezbednosti: GitHub je saopštio da će u npm v12 po podrazumevanju onemogućiti izvršavanje install-skripti.
Ukratko:
- preinstall, install i postinstall iz zavisnosti neće se pokretati bez izričitog odobrenja.
- Odobrenje za Git-zavisnosti i udaljene tarball-URL-ove biće neophodno preko --allow-git i --allow-remote; implicitne node-gyp kompilacije će takođe biti blokirane.
- GitHub preporučuje ažuriranje na npm 11.16.0, proveru upozorenja i korišćenje npm approve-scripts za odobravanje skripti.
Zašto je ovo važno: smanjuje rizik od izvršavanja zlonamernog koda iz tranzitivnih paketa.
Da li Ste spremni da preispitate politiku dozvola za skripte u Vašim projektima?
#sajberbezbednost #lanacsnabdevanja #npm #GitHub


Poslednji komentari
Još nema komentara.