کمیته رکن چهارم – گیتهاب نسخه npm 12 را با غیرفعال بودن پیشفرض اسکریپتهای نصب منتشر کرد و همزمان از آغاز حذف تدریجی توکنهایی خبر داد که امکان دور زدن احراز هویت دومرحلهای (2FA) را فراهم میکردند.
به گزارش کمیته رکن چهارم، در نسخه جدید npm 12، اجرای خودکار اسکریپتهای preinstall، install و postinstall، بارگیری وابستگیها از مخازن Git و دریافت بستهها از منابع راه دور بهصورت پیشفرض غیرفعال شده و تنها با تأیید کاربر اجرا خواهند شد. گیتهاب اعلام کرد این تغییرات با هدف کاهش خطر حملات زنجیره تأمین نرمافزار (Supply Chain Attack) اعمال شده است.
این شرکت همچنین اعلام کرد از مرداد ۱۴۰۵، توکنهای Granular Access Token (GAT) که برای دور زدن احراز هویت دومرحلهای پیکربندی شدهاند، دیگر اجازه انجام عملیات حساس مانند تغییر رمز عبور، مدیریت توکنها، تغییر تنظیمات امنیتی یا مدیریت بستهها را نخواهند داشت. همچنین از دی ۱۴۰۵، این توکنها دیگر قادر به انتشار مستقیم بستهها نخواهند بود و توسعهدهندگان باید از Trusted Publishing مبتنی بر OIDC یا انتشار مرحلهای همراه با تأیید انسانی استفاده کنند.
همزمان، نسخه ۱۱.۱۰ ابزار pnpm نیز قابلیت جدیدی برای مدیریت امنتر اطلاعات احراز هویت رجیستری معرفی کرده است؛ قابلیتی که با جلوگیری از سوءاستفاده از فایلهای پیکربندی پروژه، خطر سرقت توکنهای رجیستری را کاهش میدهد.
منبع: The Hacker News



