GitHub verrouille l'exécution des scripts d'installation pour npm - Le Monde Informatique

L'exploitation de l'exécution automatique de scripts d'installation dans des registres npm sur Github sera bientôt de l’histoire ancienne avec la v12 de npm install. Le site de partage de code envisage en effet des modifications qui entreront en vigueur en juillet pour résoudre ce grave souci de sécurité. Les développeurs pourront toujours activer la fonction d’exécution automatique de scripts npm, mais elle sera bloquée par défaut. Les paramètres  vont changer a indiqué GitHub dans son journal des modifications, précisant que « cela transforme le comportement actuel de npm install, qui s'exécute automatiquement, en un comportement auquel il faut explicitement consentir. »

Plus précisément, le message indiquait que la valeur par défaut de “allowScripts” est désactivée : “npm instal” n'exécutera plus les scripts “preinstall”, “install” ou “postinstall” des dépendances, à moins qu'ils ne soient explicitement autorisés dans votre projet. Cela inclut les builds natifs node-gyp ; un paquet contenant un fichier “binding.gyp” mais aucun script d'installation explicite sera tout de même bloqué, car npm exécute implicitement une reconstruction node-gyp pour celui-ci. Les scripts de préparation provenant de git, des fichiers et des dépendances de liens sont bloqués de la même manière. Les analystes, consultants et utilisateurs ont salué ce changement, mais ont déclaré qu’il ne ferait que réduire l’exposition aux attaques de la chaîne d’approvisionnement au lieu de ...
[Courte citation de 8% de l'article original]