GitHub a officialisé une série de changements de sécurité pour son gestionnaire de paquets npm, avec pour objectif principal de limiter les attaques visant la chaîne d'approvisionnement logicielle. La mesure la plus notable consiste à désactiver par défaut les scripts d'installation (install scripts) lors de l'installation de paquets.
Ces scripts, qui permettent d'exécuter du code arbitraire au moment de l'installation, ont été exploités à plusieurs reprises par des acteurs malveillants pour diffuser des logiciels nuisibles. En les désactivant par défaut, GitHub espère supprimer un vecteur d'attaque fréquent, tout en offrant aux développeurs la possibilité de les réactiver explicitement si nécessaire.
Cette décision s'inscrit dans un effort plus large de la plateforme pour renforcer la sécurité de l'écosystème npm, qui compte des millions de paquets et d'utilisateurs. Les attaques sur la chaîne d'approvisionnement, où un paquet compromis peut infecter de nombreux projets en aval, sont devenues une préoccupation majeure pour l'industrie du logiciel.
Gitban a précisé que ces changements seront déployés progressivement. Les développeurs et mainteneurs de paquets sont invités à vérifier que leurs workflows ne dépendent pas de l'exécution automatique de scripts d'installation. La plateforme prévoit également d'autres améliorations à venir pour renforcer la confiance dans le registre npm.
