GitHub объявил о грядущих "разрушительных изменениях" в версии npm 12, среди которых отключение скриптов установки по умолчанию. Это решение направлено на борьбу с угрозами для цепочки поставок программного обеспечения. Изменения призваны противодействовать методам атак, которые используют команду "npm install" для выполнения вредоносного кода с помощью хуков жизненного цикла npm.

Команда "npm install" обычно используется для загрузки и установки всех необходимых зависимостей проекта. Однако злоумышленники могут злоупотреблять этой командой, внедряя вредоносные скрипты, которые активируются во время установки. Это создает серьезные риски для разработчиков и конечных пользователей, так как вредоносный код может быть использован для кражи данных или компрометации систем.

Отключение скриптов установки по умолчанию позволит значительно снизить вероятность таких атак. Разработчики смогут включать скрипты вручную, если они уверены в безопасности используемых пакетов. Это изменение должно стать важным шагом в повышении безопасности экосистемы npm.

GitHub подчеркивает, что подобные меры необходимы в условиях роста числа атак на цепочку поставок. В последние годы такие атаки стали все более распространенными и сложными, что делает защиту от них приоритетной задачей для платформ, работающих с открытым исходным кодом.

Разработчики и пользователи npm уже начали обсуждать предстоящие изменения на форумах и в социальных сетях, выражая как поддержку, так и опасения по поводу возможных неудобств в рабочем процессе. GitHub планирует продолжить информировать сообщество о предстоящих обновлениях и изменениях в политике безопасности.

Источник новости:
The Hacker News

Читать полностью