npm 12 strengthens supply chain security: what changed for install scripts and tokens

npm 12 pojačava zaštitu supply chain-a: šta se menja za install skripte i tokene
Kolege, želim da skrenem pažnju na važnu promenu u sajber bezbednosti iz npm ekosistema.
Vidim ovde odmah nekoliko snažnih koraka:
• install skripte, git i remote zavisnosti su sada podrazumevano onemogućeni;
• pouzdane skripte moraju biti eksplicitno odobrene i upisane u allowlistu;
• npm tokeni sa zaobilaženjem 2FA gube osetljive privilegije i direktno objavljivanje.
Posebno bih istakao pnpm 11.10: strukturirani _auth pomaže da se vezivanje tokena za host ne čuva u projektnim fajlovima.
Zašto je to važno: manje automatskog poverenja znači manji rizik od napada preko zavisnosti ili zamene konfiguracije.
Kako Vi ocenjujete ovakav prelazak ka strožoj supply chain bezbednosti?
#sajberbezbednost #DevSecOps #npm #BezbednostLancaSnabdevanja


Latest comments
No comments yet.