npm 12 aumenta a segurança desativando scripts de instalação
A mais recente atualização do npm feita pelo GitHub desativa por padrão os scripts de instalação para reduzir riscos na cadeia de suprimentos. A versão também descontinua tokens de acesso granular que podiam ignorar a autenticação de dois fatores (2FA).
TL;DR
- O npm v12 desativa por padrão os scripts de instalação de pacotes para limitar superfícies de ataque na cadeia de suprimentos.
- Os desenvolvedores agora precisam ativar explicitamente os scripts usando a flag --allow-scripts.
- Tokens de acesso granular (GATs), que podiam ignorar a 2FA, estão sendo descontinuados.
- Essas alterações visam endurecer o ecossistema Node.js contra a execução de pacotes maliciosos.
- As equipes devem revisar seus pipelines de CI/CD e atualizar os fluxos de trabalho conforme necessário.
O GitHub lançou a versão 12 do npm, introduzindo melhorias significativas de segurança voltadas à redução dos riscos de ataques na cadeia de suprimentos no ecossistema Node.js. Por padrão, essa nova versão desativa a execução automática de scripts de instalação de pacotes — um vetor comum para injeção de código malicioso.
Além das mudanças nos scripts, o npm 12 inicia o processo de descontinuação dos tokens de acesso granular (GATs), que anteriormente conseguiam contornar a autenticação de dois fatores (2FA). Essas atualizações refletem esforços contínuos para fortalecer a segurança dos fluxos de trabalho dos desenvolvedores e minimizar possíveis caminhos de exploração.
Alterações nos Scripts de Instalação
- A opção
allowScriptsagora tem valor padrãofalse, exigindo permissão explícita para executar scripts durante a instalação. - Essa mudança reduz o risco de execução de código indesejado ou malicioso proveniente de pacotes de terceiros.
- Os desenvolvedores podem reativar os scripts individualmente por projeto usando a flag
--allow-scriptsno CLI. - Projetos que dependem da execução automática de scripts precisarão de ajustes nas configurações para manter a funcionalidade.
Melhorias na Segurança de Autenticação
- Tokens de Acesso Granular (GATs), que anteriormente podiam contornar a imposição da 2FA, estão agora em processo de descontinuação.
- Essa medida fortalece a proteção das contas, garantindo que a 2FA permaneça eficaz em todos os tipos de tokens.
- As organizações devem revisar os tokens existentes e migrar para métodos de autenticação suportados.
- Versões futuras do npm removerão totalmente o suporte ao comportamento legado dos GATs.
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.