GitHub 锁定 npm 安装脚本的执行
GitHub verrouille l'exécution des scripts d'installation pour npm
摘要
GitHub(微软旗下代码托管平台)已对npm安装脚本的执行实施锁定,要求开发者显式允许才能运行,以防范供应链攻击。该举措针对Node.js包管理器生态中的恶意代码风险,直接影响依赖npm安装流程的开发者。
GitHub(微软旗下代码托管平台)已对npm安装脚本的执行实施锁定,要求开发者显式允许才能运行,以防范供应链攻击。该举措针对Node.js包管理器生态中的恶意代码风险,直接影响依赖npm安装流程的开发者。
该文章仅爬取到标题,未获取到正文内容。
查看原文
Summary
GitHub now blocks the automatic execution of npm installation scripts by default to combat software supply chain attacks. The platform, owned by Microsoft, aims to protect developers from malicious packages that could run unauthorized code during installs, requiring explicit opt-in for script execution. This enhances security for the vast JavaScript ecosystem, reducing the risk of compromised dependencies.
GitHub now blocks the automatic execution of npm installation scripts by default to combat software supply chain attacks. The platform, owned by Microsoft, aims to protect developers from malicious packages that could run unauthorized code during installs, requiring explicit opt-in for script execution. This enhances security for the vast JavaScript ecosystem, reducing the risk of compromised dependencies.
Only the headline was crawled; full content was not available.
Read original
Résumé
GitHub a annoncé qu'il bloque désormais par défaut l'exécution des scripts d'installation (tels que `preinstall` ou `postinstall`) lors de l'utilisation de npm, afin de limiter les risques d'exécution de code malveillant dans la chaîne d'approvisionnement. Cette décision touche directement les développeurs et les packages s'appuyant sur ces scripts pour construire des modules natifs, renforçant la sécurité de l'écosystème npm tout en imposant une migration des workflows de build.
GitHub a annoncé qu'il bloque désormais par défaut l'exécution des scripts d'installation (tels que `preinstall` ou `postinstall`) lors de l'utilisation de npm, afin de limiter les risques d'exécution de code malveillant dans la chaîne d'approvisionnement. Cette décision touche directement les développeurs et les packages s'appuyant sur ces scripts pour construire des modules natifs, renforçant la sécurité de l'écosystème npm tout en imposant une migration des workflows de build.
Seul le titre a été récupéré.
Lire l'originalCore Point
GitHub now blocks automatic execution of npm package installation scripts to mitigate supply-chain attacks exploiting postinstall scripts.
Key Players
- GitHub — code hosting and DevOps platform, United States, subsidiary of Microsoft.
- npm — package registry and CLI tool for JavaScript, managed by GitHub/Microsoft.
Industry Impact
- ICT: High — forces developers to manually trust package lifecycle scripts, altering CI/CD and security workflows across the JavaScript ecosystem.
Tracking
Strongly track — marks a major shift in npm security posture; could disrupt automated builds and lead to further policy changes in open-source supply chain defense.
Related Companies
GitHub
positive
mature
Categories
软件
网络安全
AI Processing
2026-06-12 19:59
deepseek / deepseek-v4-pro