GitHub 锁定 npm 安装脚本的执行
GitHub verrouille l'exécution des scripts d'installation pour npm
摘要
GitHub(微软旗下代码托管平台)已对npm安装脚本的执行实施锁定,要求开发者显式允许才能运行,以防范供应链攻击。该举措针对Node.js包管理器生态中的恶意代码风险,直接影响依赖npm安装流程的开发者。
GitHub(微软旗下代码托管平台)已对npm安装脚本的执行实施锁定,要求开发者显式允许才能运行,以防范供应链攻击。该举措针对Node.js包管理器生态中的恶意代码风险,直接影响依赖npm安装流程的开发者。
该文章仅爬取到标题,未获取到正文内容。
查看原文
Summary
GitHub now blocks the automatic execution of npm installation scripts by default to combat software supply chain attacks. The platform, owned by Microsoft, aims to protect developers from malicious packages that could run unauthorized code during installs, requiring explicit opt-in for script execution. This enhances security for the vast JavaScript ecosystem, reducing the risk of compromised dependencies.
GitHub now blocks the automatic execution of npm installation scripts by default to combat software supply chain attacks. The platform, owned by Microsoft, aims to protect developers from malicious packages that could run unauthorized code during installs, requiring explicit opt-in for script execution. This enhances security for the vast JavaScript ecosystem, reducing the risk of compromised dependencies.
Only the headline was crawled; full content was not available.
Read original
Résumé
GitHub a annoncé qu'il bloque désormais par défaut l'exécution des scripts d'installation (tels que `preinstall` ou `postinstall`) lors de l'utilisation de npm, afin de limiter les risques d'exécution de code malveillant dans la chaîne d'approvisionnement. Cette décision touche directement les développeurs et les packages s'appuyant sur ces scripts pour construire des modules natifs, renforçant la sécurité de l'écosystème npm tout en imposant une migration des workflows de build.
GitHub a annoncé qu'il bloque désormais par défaut l'exécution des scripts d'installation (tels que `preinstall` ou `postinstall`) lors de l'utilisation de npm, afin de limiter les risques d'exécution de code malveillant dans la chaîne d'approvisionnement. Cette décision touche directement les développeurs et les packages s'appuyant sur ces scripts pour construire des modules natifs, renforçant la sécurité de l'écosystème npm tout en imposant une migration des workflows de build.
Seul le titre a été récupéré.
Lire l'originalCore Point
GitHub 默认阻止 npm 包的安装脚本执行,以遏制通过恶意脚本发起的供应链攻击,提升包生态安全门槛。
Key Players
- GitHub — 代码托管与协作平台,美国
- npm — JavaScript 包管理器,由 GitHub 维护,总部亦在美国
Industry Impact
- ICT: 高 — 重塑 JavaScript 生态的安全基线,影响所有依赖 npm 的开发与部署流水线
- 计算/AI: 中 — 依赖 npm 构建前端、Node.js 服务的 AI/ML 工程流程需适配新限制
Tracking
强烈跟踪 — 这条规则直接改变开发者习惯,可能引爆针对封锁规避的新攻击手法,影响面横跨全球 Web 技术栈。
Related Companies
GitHub
positive
mature
Categories
软件
网络安全
AI Processing
2026-06-12 19:59
deepseek / deepseek-v4-pro