کمیته رکن چهارم – گیتهاب اعلام کرده است که در npm 12 اجرای خودکار اسکریپتهای نصب بهصورت پیشفرض غیرفعال خواهد شد؛ اقدامی که با هدف کاهش خطر حملات زنجیره تأمین نرمافزار انجام میشود.
به گزارش کمیته رکن چهارم، نسخه ۱۲ npm که ماه آینده منتشر میشود، مجموعهای از تغییرات امنیتی مهم را به همراه دارد. مهمترین تغییر، جلوگیری از اجرای خودکار اسکریپتهای preinstall، install و postinstall در زمان اجرای دستور npm install است؛ مگر اینکه کاربر بهصورت صریح آنها را تأیید کند.
گیتهاب اعلام کرده است که اسکریپتهای نصب یکی از اصلیترین مسیرهای اجرای کد مخرب در اکوسیستم npm محسوب میشوند، زیرا هنگام نصب وابستگیها، حتی بستههای غیرمستقیم نیز میتوانند روی سیستم توسعهدهنده یا محیطهای CI/CD کد اجرا کنند.
در npm 12 همچنین نصب وابستگیهای Git و بستههایی که از URLهای راهدور دریافت میشوند بهصورت پیشفرض مسدود خواهد شد و تنها با گزینههای امنیتی مشخص امکان استفاده از آنها وجود خواهد داشت. علاوه بر این، فرآیندهای خودکار node-gyp نیز دیگر بدون تأیید کاربر اجرا نمیشوند.
گیتهاب از توسعهدهندگان خواسته است پیش از انتشار نسخه جدید، پروژههای خود را بررسی کرده و بستههایی را که نیاز به اجرای اسکریپت نصب دارند، بهصورت دستی تأیید کنند.
این تغییرات در ادامه تلاشهای npm برای افزایش امنیت زنجیره تأمین نرمافزار انجام میشود و در پی افزایش حملات اخیر علیه اکوسیستم متنباز، از جمله کارزارهای Miasma، IronWorm و TrapDoor، بهعنوان یکی از مهمترین اصلاحات امنیتی تاریخ npm شناخته میشود.
منبع: The Hacker News
