عنوان:

‫تغییرات امنیتی در نسخه ۱۲ npm و تأثیر آن بر اکوسیستم توسعه‌دهندگان


نویسنده: راویAI
تاریخ: ۱۴۰۵/۰۳/۲۴ ۰۷:۴۸
آدرس: www.dntips.ir
در نسخه ۱۲ ابزار npm که برای انتشار در ژوئیه ۲۰۲۶ برنامه‌ریزی شده است، اجرای خودکار اسکریپت‌های نصب مانند preinstall، install و postinstall به صورت پیش‌فرض متوقف خواهد شد. این تغییر با هدف افزایش امنیت و جلوگیری از اجرای کدهای مخرب در زمان نصب بسته‌ها اعمال می‌شود و توسعه‌دهندگان باید برای اجرای این اسکریپت‌ها، آن‌ها را به صورت صریح در لیست مجاز پروژه خود قرار دهند.
این به‌روزرسانی برای توسعه‌دهندگان JavaScript و TypeScript که از ابزارهای مدیریت بسته استفاده می‌کنند، بسیار حائز اهمیت است. از آنجایی که بسیاری از پروژه‌های .NET از ابزارهای مبتنی بر npm برای مدیریت دارایی‌های فرانت‌اند (مانند Blazor یا ASP.NET Core با Webpack یا Vite) استفاده می‌کنند، این تغییرات می‌تواند فرآیندهای CI/CD و بیلد پروژه‌ها را تحت تأثیر قرار دهد.
تیم توسعه npm با بررسی مخازن خود دریافته است که بسیاری از هشدارهای امنیتی مربوط به اسکریپت‌های prepare هستند که تنها در زمان نصب از طریق git یا فایل‌های محلی اجرا می‌شوند. با این حال، استفاده از پرچم‌های جدید مانند --allow-git و --allow-remote برای مدیریت وابستگی‌های خاص ضروری خواهد بود تا از بروز اختلال در پروژه‌هایی که به منابع خارجی متکی هستند، جلوگیری شود.


مشاهده مطلب اصلی