NPM 12.0: Изменения в Запуске Скриптов
Выпуск пакетного менеджера NPM 12.0, применяемого для распространения модулей на языке JavaScript, содержит значительное изменение по умолчанию — запуск скриптов во время установки пакетов теперь отключен. Это изменение может усложнить проведение атак через компрометацию зависимостей и замедлить распространение червей.
Подробности
В новой версии NPM 12.0, входящей в состав Node.js, произошло значительное изменение в поведении при установке пакетов. Теперь, по умолчанию, скрипты не запускаются во время установки. Это изменение потенциально может снизить риск атак через компрометацию зависимостей, поскольку злоумышленники не смогут напрямую выполнить вредоносные действия во время процесса установки пакетов.Что делать
Для пользователей, которые полагаются на запуск скриптов во время установки пакетов, может потребоваться ручное вмешательство, чтобы продолжить использование существующей функциональности. Однако, учитывая потенциальные риски безопасности, связанные с автоматическим выполнением скриптов, этот шаг является важным для защиты проектов и систем. Итог: Новая версия NPM 12.0 повышает уровень безопасности при установке пакетов, а изменения в поведении по умолчанию направлены на снижение рисков потенциальных атак. Это изменение является шагом вперед в обеспечении безопасности в экосистеме Node.js.Источник: opennet
