GitHub schafft mit npm v12 einige sicherheitskritische Standardeinstellungen des Node.js-Paketmanagers ab. Die Hauptversion ist für Juli 2026 angekündigt und wird dann Installationsskripte aus Abhängigkeiten nicht mehr automatisch ausführen.

npm wird auch Git- und Remote-Abhängigkeiten nur noch nach ausdrücklicher Freigabe durch Entwickler installieren. GitHub will so die automatische Codeausführung während eines "npm install" verhindern.

npm gehört zu den meistgenutzten Paketverwaltungen überhaupt. Oftmals werden von modernen Anwendungen Hunderte oder Tausende direkte und indirekte Abhängigkeiten nachgeladen. Die Angriffsfläche ist daher entsprechend groß und seit Jahren warnen Sicherheitsforscher vor Angriffen auf die Lieferkette. Mechanismen, die schon beim Installieren eines Pakets Code ausführen, sind besonders gefährlich.

GitHub nennt weitere Details im Changelog-Eintrag zu den anstehenden Breaking Changes für npm v12.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE