← Voltar ao blog

npm 12 aumenta a segurança desativando scripts de instalação

A mais recente atualização do npm feita pelo GitHub desativa por padrão os scripts de instalação para reduzir riscos na cadeia de suprimentos. A versão também descontinua tokens de acesso granular que podiam ignorar a autenticação de dois fatores (2FA).

TL;DR

  • O npm v12 desativa por padrão os scripts de instalação de pacotes para limitar superfícies de ataque na cadeia de suprimentos.
  • Os desenvolvedores agora precisam ativar explicitamente os scripts usando a flag --allow-scripts.
  • Tokens de acesso granular (GATs), que podiam ignorar a 2FA, estão sendo descontinuados.
  • Essas alterações visam endurecer o ecossistema Node.js contra a execução de pacotes maliciosos.
  • As equipes devem revisar seus pipelines de CI/CD e atualizar os fluxos de trabalho conforme necessário.

O GitHub lançou a versão 12 do npm, introduzindo melhorias significativas de segurança voltadas à redução dos riscos de ataques na cadeia de suprimentos no ecossistema Node.js. Por padrão, essa nova versão desativa a execução automática de scripts de instalação de pacotes — um vetor comum para injeção de código malicioso.

Além das mudanças nos scripts, o npm 12 inicia o processo de descontinuação dos tokens de acesso granular (GATs), que anteriormente conseguiam contornar a autenticação de dois fatores (2FA). Essas atualizações refletem esforços contínuos para fortalecer a segurança dos fluxos de trabalho dos desenvolvedores e minimizar possíveis caminhos de exploração.

Alterações nos Scripts de Instalação

  • A opção allowScripts agora tem valor padrão false, exigindo permissão explícita para executar scripts durante a instalação.
  • Essa mudança reduz o risco de execução de código indesejado ou malicioso proveniente de pacotes de terceiros.
  • Os desenvolvedores podem reativar os scripts individualmente por projeto usando a flag --allow-scripts no CLI.
  • Projetos que dependem da execução automática de scripts precisarão de ajustes nas configurações para manter a funcionalidade.

Melhorias na Segurança de Autenticação

  • Tokens de Acesso Granular (GATs), que anteriormente podiam contornar a imposição da 2FA, estão agora em processo de descontinuação.
  • Essa medida fortalece a proteção das contas, garantindo que a 2FA permaneça eficaz em todos os tipos de tokens.
  • As organizações devem revisar os tokens existentes e migrar para métodos de autenticação suportados.
  • Versões futuras do npm removerão totalmente o suporte ao comportamento legado dos GATs.

Fontes

Fontes

Atualizações de segurança por e-mail

Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.

npm 12 aumenta a segurança desativando scripts de instalação — Agent Breach Blog | Agent Breach