🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨

Sua opinião é importante: leia e participe!

Apoie esse projeto de divulgacao de noticias! Clique aqui
O GitHub anunciou oficialmente o lançamento do npm versão 12 com scripts de instalação desabilitados por padrão, junto com tokens de acesso granular (GATs) obsoletos projetados para ignorar a autenticação de dois fatores (2FA).

A subsidiária de propriedade da Microsoft observou que os seguintes comportamentos de instalação do npm que costumavam ser executados automaticamente antes foram ativados:

O padrão de AllowScripts é desativado, o que significa que scripts de ciclo de vida de dependência (ou seja, pré-instalação, instalação, pós-instalação) e compilações implícitas de node-gyp não são mais executadas, a menos que sejam explicitamente permitidas.

O padrão --allow-git é nenhum, o que significa que o padrão --allow-git é nenhum: as dependências do Git (diretas ou transitivas) não são mais resolvidas, a menos que sejam explicitamente permitidas.

--allow-remote é padronizado como none, o que significa que dependências de URLs remotos (por exemplo, tarballs https) não são mais resolvidas, a menos que sejam explicitamente permitidas.

Para revisar e aprovar scripts confiáveis, os usuários agora devem executar: "npm aprovar-scripts --allow-scripts-pending" e, em seguida, confirmar a lista de permissões resultante no arquivo "package.json".

É importante notar que essas mudanças foram visualizadas no mês passado, com o GitHub recomendando aos desenvolvedores que atualizassem para o npm 11.16.0 ou mais recente, executassem o comando de instalação normal e revisem os avisos exibidos.

A versão mais recente do npm também apresenta duas novas alterações:

Os GATs npm configurados para ignorar 2FA não poderão mais executar ações confidenciais de gerenciamento de contas, pacotes e organizações. Isso inclui criar ou excluir tokens, gerar códigos de recuperação e alterar a senha da conta npm, e-mail, perfil ou configuração 2FA, alterar o acesso ao pacote, mantenedores ou configuração de publicação confiável e gerenciar a associação da organização e da equipe, bem como suas concessões de pacote.

Os GATs npm não manterão mais a capacidade de publicar diretamente. Sua superfície de publicação será limitada à leitura de pacotes privados e à preparação de uma publicação, onde um pacote só se torna público após a aprovação humana do 2FA.

Espera-se que a primeira das duas alterações entre em vigor no início de agosto de 2026. Nesse ínterim, é aconselhável parar de usar tokens de bypass 2FA para as operações mencionadas e executá-las interativamente com 2FA. A segunda mudança está prevista para janeiro de 2027.

“Para se preparar, planeje migrar a publicação automatizada para publicação confiável (OIDC) ou publicação encenada com uma etapa de aprovação humana, em vez de um token de publicação de longa duração”, disse o GitHub.

O desenvolvimento ocorre no momento em que o pnpm 11.10 introduz uma nova configuração "_auth" para configurar a autenticação do registro como um único valor estruturado com chave de URL.

“O benefício de segurança é que a credencial e o host ao qual ela pertence viajam juntos, e o pnpm lê _auth apenas do ambiente ou da configuração global, nunca dos arquivos de um projeto”, explicou Socket.

“Isso significa que um pnpm-workspace.yaml ou .npmrc malicioso ou comprometido dentro de um repositório não pode apontar um token válido para um host diferente. Um arquivo de projeto adulterado é uma forma comum de os invasores obterem uma posição segura, e redirecionar um token de registro é uma rota direta para roubá-lo, portanto, fechar esse caminho remove a exposição.

Siga Canal Fsociety para mais novidades:
Instagram | Facebook | Telegram | Twitter
#samirnews #samir #news #boletimtec #npm #12 #desativa #scripts #de #instalação #por #padrão #para #reduzir #o #risco #da #cadeia #de #suprimentos
🎉 Obrigado por acompanhar, até a próxima notícia!

Post a Comment