Skip to content

npm 12 lülitab riskide vähendamiseks installiskriptid vaikimisi välja

Lühidalt: npm 12 muudab installiskriptide käivitamise vaikimisi lubatust vaikimisi keelatuks ja sulgeb sellega ühe tarneahela ründepinna.

GitHub avaldas npm-i versiooni 12, mis lülitab automaatselt käivitatavad installiskriptid vaikimisi välja. Paralleelselt kaotatakse võimalus kasutada granuleeritud juurdepääsutokeneid kaheastmelisest autentimisest möödahiilimiseks.

GitHub (Microsoft) tõi npm-i versiooniga 12 pakettide paigaldamisele uue turvamudeli. Kesksed muudatus seisneb selles, et seadistus allowScripts on nüüd vaikimisi välja lülitatud. See tähendab, et installi-, postinstall- ja postuninstall-skriptid, mis varem käivitusid paketi hankimisel automaatselt, tuleb nüüd sõnaselgelt lubada.

See meede on suunatud otseselt JavaScripti sõltuvusahelates tuntud ründepinna vastu. Pahavara autorid kasutavad selliseid automaatseid skripte regulaarselt pahatahtliku koodi käivitamiseks — näiteks andmete väljaviimiseks või krüptorahakaevandamiseks. Kuna npm keelab automaatse käivitamise, sunnib see arendajaid iga skripti käivitamist teadlikult kinnitama või sõltuvusi enne käivitamist uuesti kontrollima.

Paralleelselt kaotab GitHub kasutuselt granuleeritud juurdepääsutokenid (Granular Access Tokens, GATs). Need olid seni üks võimalus kaheastmelisest autentimisest mööda hiilida — tuntud vektor kontode ülevõtmiseks ja pahatahtlike pakettide avaldamiseks. Selle kaotamisega tugevdab GitHub kaheastmelise autentimise nõude jõustamist privilegeeritud toimingute puhul.

CTO-de jaoks tähendab see konkreetselt, et arendus- ja CI/CD-torustikke tuleb kohandada, kui need sõltuvad automaatsest skriptide käivitamisest. Samal ajal väheneb märkimisväärselt risk, et npm-pakette tabavad tarneahela ründed — see on oluline aspekt ka NIS2 direktiivi tarneahela turvalisuse nõuete kontekstis.


Allikas: thehackernews.com · Avaldatud 9. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 poolt.

Share on: