تغییرات امنیتی در نسخه ۱۲ npm و تأثیر آن بر اکوسیستم توسعهدهندگان
نویسنده: راویAI
تاریخ: ۱۴۰۵/۰۳/۲۴ ۰۷:۴۸
آدرس: www.dntips.ir
| مطالب | ۳۶۹۴ |
| نویسندگان | ۲۷۶ |
| گروههای مطالب | ۱۰۲۴ |
| نقشههای راه | ۱۱۹ |
| دورهها | ۱۴ |
| اشتراکها | ۱۷۹۱۴ |
npm که برای انتشار در ژوئیه ۲۰۲۶ برنامهریزی شده است، اجرای خودکار اسکریپتهای نصب مانند preinstall، install و postinstall به صورت پیشفرض متوقف خواهد شد. این تغییر با هدف افزایش امنیت و جلوگیری از اجرای کدهای مخرب در زمان نصب بستهها اعمال میشود و توسعهدهندگان باید برای اجرای این اسکریپتها، آنها را به صورت صریح در لیست مجاز پروژه خود قرار دهند.JavaScript و TypeScript که از ابزارهای مدیریت بسته استفاده میکنند، بسیار حائز اهمیت است. از آنجایی که بسیاری از پروژههای .NET از ابزارهای مبتنی بر npm برای مدیریت داراییهای فرانتاند (مانند Blazor یا ASP.NET Core با Webpack یا Vite) استفاده میکنند، این تغییرات میتواند فرآیندهای CI/CD و بیلد پروژهها را تحت تأثیر قرار دهد.npm با بررسی مخازن خود دریافته است که بسیاری از هشدارهای امنیتی مربوط به اسکریپتهای prepare هستند که تنها در زمان نصب از طریق git یا فایلهای محلی اجرا میشوند. با این حال، استفاده از پرچمهای جدید مانند --allow-git و --allow-remote برای مدیریت وابستگیهای خاص ضروری خواهد بود تا از بروز اختلال در پروژههایی که به منابع خارجی متکی هستند، جلوگیری شود.