Auf den Punkt: npm v12 deaktiviert Installationsskripte von Abhängigkeiten per Default und schließt damit eine Angriffsfläche für Supply-Chain-Attacken.
GitHub sperrt in npm v12 einen häufig genutzten Angriffsvektor: Ab Juli 2026 werden Installationsskripte von Abhängigkeiten standardmäßig blockiert und erfordern explizite Freigabe durch den Nutzer.
GitHub ändert mit npm v12 das Standardverhalten bei der Installation von Abhängigkeiten: Skripte, die Pakete während der Installation ausführen, laufen ab Juli 2026 nicht mehr automatisch. Dies betrifft insbesondere Lifecycle-Skripte wie install, postinstall und preinstall in den package.json-Dateien von Abhängigkeiten.
Für CTOs bedeutet dies eine erhebliche Risikoreduktion in der Supply-Chain-Sicherheit. Bislang ermöglichten automatisch ausgeführte Installationsskripte Angreifern, über kompromittierte oder bösartig übernommene Pakete beliebigen Code während des Build-Prozesses einzuschleusen. Da dieser Code mit den Rechten des Installierenden läuft, können Zugriffsschlüssel, Umgebungsvariablen oder Quellcode exfiltriert werden. Die neue Voreinstellung blockiert diesen Vektor automatisch.
Entwickler und Operationen werden bei Bedarf Installationsskripte explizit freigeben müssen, etwa über Kommandozeilenflags oder Konfigurationsdateien. Dies fördert eine bewusstere Auseinandersetzung mit vertrauenswürdigen Abhängigkeiten und ermöglicht eine granulare Kontrolle im Rahmen von Build-Prozessen und CI/CD-Pipelines.
Quelle: www.heise.de · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.