GitHub führt gestuften npm-Publishing ein, um automatisierte Supply-Chain-Angriffe zu verhindern

Ein menschlicher Maintainer muss das Paket explizit genehmigen, bevor es öffentlich installierbar wird. GitHub fügt npm-Staging hinzu.

Dieser Ansatz führt einen entscheidenden Sicherheitsprüfstein ein, insbesondere für automatisierte CI/CD-Arbeitsabläufe, die häufig Ziel ein Angreifer eine Pipeline kompromittiert oder bösartigen Code einfügt, kann das Paket ohne manuelle Genehmigung nicht veröffentlicht werden.

Zu den wichtigsten Sicherheitsvorteilen gehören: Die zwingende menschliche Genehmigung, die mit Zwei-Faktor-Authentifizierung (2FA) durchgesetzt wird. Sichtbarkeit über die npm-CLI als auch über npmjs.com. Schutz vor unbefugten oder automatisierten Veröffentlichungsversuchen. Verstärkter Nachweis der Anwesenheit für Maintainer während der Veröffentlichung.

Einordnung fuer Autofahrer

Die Funktion ist ab der npm-CLI-Version 11.15.0 verfügbar und erfordert, dass sie den traditionellen npm publish-Befehl durch npm stage publish für gestufte Workflows ersetzen. GitHub empfiehlt, gestufte Veröffentlichungen mit vertrauenswürdigen Veröffentlichungen unter Verwendung (OIDC) zu kombinieren.

Diese Konfiguration ermöglicht es CI/CD-Systemen, Pakete direkt in die Staging-Warteschlange zu veröffentlichen, ohne langfristige Credentials preiszugeben.

Organisationen können Richtlinien für ausschließlich gestufte Veröffentlichungen durchsetzen, wodurch sichergestellt wird, dass: direkte npm publish-Befehle abgelehnt werden, nur npm stage publish aus CI-Pipelines erlaubt ist und die finale Freigabe vertrauenswürdigen Gerät erfolgt. Dieses Modell reduziert das Risiko bösartigen Veröffentlichungen erheblich.

Neben der gestuften Veröffentlichung hat GitHub

Neben der gestuften Veröffentlichung hat GitHub in npm 11.15.0 neue Sicherheitsflags für die Installationsphase eingeführt.

Diese Flags bieten eine feingranulare Steuerung darüber, ängigkeiten installiert werden dürfen, und tragen so dazu bei, bösartige oder unerwartete Quellen zu verhindern. –allow-file: Steuert Installationen aus lokalen Dateien oder Tarballs. –allow-remote: Beschränkt das Abrufen ängigkeiten aus entfernten URLs. –allow-directory: Regelt Installationen aus lokalen Verzeichnissen. –allow-git (bereits vorhanden): Steuert Installationen aus Git-Repositories.

Jedes Flag unterstützt zwei Modi: all (Standard) oder none und kann über.npmrc oder package.json konfiguriert werden.

Sicherheitslage und Risiko

Diese Kontrollmechanismen ermöglichen es Entwicklern, strenge Whitelist-Policies umzusetzen und die Angriffsfläche durch nicht-Registry-Quellen zu verringern, die häufig bei Abhängigkeitsverwirrungs- oder -einspritzungsangriffen genutzt werden.

Sicherheitsauswirkung GitHub bestätigte zudem, dass sich das Standardverhalten für –allow-git in der npm CLI-Version 12 ändern wird, was einen Wandel hin zu strengeren Sicherheitseinstellungen durch Standardkonfiguration signalisiert. Entwickler werden ermutigt, diese Einschränkungen frühzeitig durch manuelle Konfiguration der neuen Flaggen umzusetzen.

Beispielsweise kann eine Organisation ihre Umgebung so konfigurieren, dass alle nicht-Registry-Installationen blockiert werden: Set –allow-remote=none Set –allow-file=none Set –allow-directory=none Nur vertrauenswürdige Registry-Pakete zulassen In Kombination mit staged publishing entsteht so eine kontrollierte Pipeline, bei der sowohl die Erstellung als auch der Verbrauch.

Sicherheitslage und Risiko

Diese Updates adressieren direkt gängige Angriffsvektoren in der Lieferkette, darunter: Einführung von bösartigem Code in CI/CD-Pipelines. Abhängigkeitsverwirrung über externe Quellen.

Unbefugtes Veröffentlichen ührung menschlicher Validierung und strengerer Abhängigkeitskontrollen bewegt sich GitHub npm in Richtung eines Zero-Trust-Modells für die Lieferkette.

Organisationen, die npm nutzen, werden dringend aufgefordert, auf npm CLI 11.15.0 oder eine neuere Version zu aktualisieren und ihre Workflows entsprechend anzupassen, um diese neuen Schutzmechanismen voll auszuschöpfen. Abi ist Security Editor und Reporter bei