GitHub führt gestuften npm-Publishing ein, um automatisierte Supply-Chain-Angriffe zu verhindern
GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp

Kurzfassung
Warum das wichtig ist
- GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp
- Die neu eingeführte Funktion für gestufte Veröffentlichungen ändert die Art und Weise, wie npm-Pakete veröffentlicht und verteilt werden.
- Anstatt ein Paket unmittelbar nach der Veröffentlichung verfügbar zu machen, platziert npm den vorbereiteten Paket-Tarball nun in eine Warteschlange für die Prüfung.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp
Warum relevant
Ein menschlicher Maintainer muss das Paket explizit genehmigen, bevor es öffentlich installierbar wird.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Ein menschlicher Maintainer muss das Paket explizit genehmigen, bevor es öffentlich installierbar wird. GitHub fügt npm-Staging hinzu.
Dieser Ansatz führt einen entscheidenden Sicherheitsprüfstein ein, insbesondere für automatisierte CI/CD-Arbeitsabläufe, die häufig Ziel ein Angreifer eine Pipeline kompromittiert oder bösartigen Code einfügt, kann das Paket ohne manuelle Genehmigung nicht veröffentlicht werden.
Zu den wichtigsten Sicherheitsvorteilen gehören: Die zwingende menschliche Genehmigung, die mit Zwei-Faktor-Authentifizierung (2FA) durchgesetzt wird. Sichtbarkeit über die npm-CLI als auch über npmjs.com. Schutz vor unbefugten oder automatisierten Veröffentlichungsversuchen. Verstärkter Nachweis der Anwesenheit für Maintainer während der Veröffentlichung.
Einordnung fuer Autofahrer
Die Funktion ist ab der npm-CLI-Version 11.15.0 verfügbar und erfordert, dass sie den traditionellen npm publish-Befehl durch npm stage publish für gestufte Workflows ersetzen. GitHub empfiehlt, gestufte Veröffentlichungen mit vertrauenswürdigen Veröffentlichungen unter Verwendung (OIDC) zu kombinieren.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/github-adds-staged-publishing-to-npm-to-block-automated-supply-chain-attacks/
- Quell-URL
- https://cybersecuritynews.com/github-adds-staged-publishing-to-npm-to-block-automated-supply-chain-attacks/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Indonesien: Sicherheitsoperation zum Schutz von Kindern führt zur Sperrung von 4,8 Millionen Social-Media-Accounts
Die indonesische Regierung meldete nach drei Monaten der neuen Altersbeschränkungen rund 4,8 Millionen gesperrte Kinderkonten, wobei TikTok mit 4,1 Millionen der größte Anteil der Maßnahmen erzielte. Kritiker warnen jedoch, dass die alleinige Abhängigkeit Selbstüberwachung und Altersverifizierung systemische Schwachstellen aufweise und eine unabhängige staatliche Prüfung sowie Schutzmaßnahmen jenseits der Kontolöschung notwendig sind.
09.07.2026
Live Redaktion


