GitHub führt gestuften npm-Publishing ein, um automatisierte Supply-Chain-Angriffe zu verhindern
GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp

Kurzfassung
Warum das wichtig ist
- GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp
- Die neu eingeführte Funktion für gestufte Veröffentlichungen ändert die Art und Weise, wie npm-Pakete veröffentlicht und verteilt werden.
- Anstatt ein Paket unmittelbar nach der Veröffentlichung verfügbar zu machen, platziert npm den vorbereiteten Paket-Tarball nun in eine Warteschlange für die Prüfung.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
GitHub hat eine umfassende Sicherheitsverbesserung für das npm-Ökosystem eingeführt, indem es die allgemeine Verfügbarkeit öffentlichungen (staged publishing) sowie neue Kontrollen zum Installationszeitp
Warum relevant
Ein menschlicher Maintainer muss das Paket explizit genehmigen, bevor es öffentlich installierbar wird.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Ein menschlicher Maintainer muss das Paket explizit genehmigen, bevor es öffentlich installierbar wird. GitHub fügt npm-Staging hinzu.
Dieser Ansatz führt einen entscheidenden Sicherheitsprüfstein ein, insbesondere für automatisierte CI/CD-Arbeitsabläufe, die häufig Ziel ein Angreifer eine Pipeline kompromittiert oder bösartigen Code einfügt, kann das Paket ohne manuelle Genehmigung nicht veröffentlicht werden.
Zu den wichtigsten Sicherheitsvorteilen gehören: Die zwingende menschliche Genehmigung, die mit Zwei-Faktor-Authentifizierung (2FA) durchgesetzt wird. Sichtbarkeit über die npm-CLI als auch über npmjs.com. Schutz vor unbefugten oder automatisierten Veröffentlichungsversuchen. Verstärkter Nachweis der Anwesenheit für Maintainer während der Veröffentlichung.
Einordnung fuer Autofahrer
Die Funktion ist ab der npm-CLI-Version 11.15.0 verfügbar und erfordert, dass sie den traditionellen npm publish-Befehl durch npm stage publish für gestufte Workflows ersetzen. GitHub empfiehlt, gestufte Veröffentlichungen mit vertrauenswürdigen Veröffentlichungen unter Verwendung (OIDC) zu kombinieren.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/github-adds-staged-publishing-to-npm-to-block-automated-supply-chain-attacks/
- Quell-URL
- https://cybersecuritynews.com/github-adds-staged-publishing-to-npm-to-block-automated-supply-chain-attacks/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Künstliche-Intelligenz-Server werden 2027 mehr Energie verbrauchen als herkömmliche Hardware.
Neueste Analysen Anstieg des globalen Stromverbrauchs 565 Terawattstunden im Jahr 2026, wobei KI-Server bis 2027 erstmals mehr Energie als herkömmliche Hardware benötigen werden. Diese rapide wachsende Nachfrage führt bereits dazu, dass über 75 Großprojekte im Wert von 130 Milliarden US-Dollar wegen Energie- und Wasserknappheit eingestellt wurden, während Technologieunternehmen wie Meta nach Alternativen wie Kernenergie suchen, deren Umsetzung jedoch erst ab 2028 erwartet wird.
09.07.2026
Live Redaktion


