1. TugaTech » Software » Noticias de Software
  Login     Registar    |                      

Siga-nos


npm segurança

A próxima grande atualização do gestor de pacotes mais usado na programação web, o npm v12, vai introduzir mudanças radicais de segurança no próximo mês para bloquear ameaças na cadeia de fornecimento, exigindo a aprovação manual de comandos que até agora eram executados de forma invisível.

Conforme detalhado no comunicado oficial do GitHub, a alteração tem como objetivo central impedir que instalações de rotina se tornem numa via aberta para a entrada de malware nos sistemas dos programadores e empresas.

Fim da confiança cega nas dependências

O comando de instalação tradicional é utilizado de forma contínua para transferir e configurar as dependências de um projeto. Normalmente, as equipas de desenvolvimento utilizam esta instrução após clonar repositórios ou em processos de integração contínua. Os criminosos informáticos aproveitam esta confiança cega devido ao potencial de execução automática de código malicioso nos computadores das vítimas durante o processo.

A partir da versão 12, as instruções de pré e pós-instalação não vão atuar sem uma autorização explícita do utilizador. Esta nova abordagem aplica-se igualmente a construções nativas desencadeadas internamente e a preparações provenientes de plataformas externas ou de ficheiros locais.

Prevenção contra fontes externas perigosas

Além do bloqueio de comandos paralelos, o gestor de pacotes vai deixar de recolher elementos diretamente de repositórios descentralizados ou através de ligações remotas sem consentimento prévio. Esta alteração elimina por completo a hipótese de um simples ficheiro de configuração alterar os parâmetros de instalação sem que o programador perceba a ameaça.

As novas definições padrão vão quebrar diversas campanhas recentes de roubo de dados que abusavam destas lacunas silenciosas nos pacotes. Para que a transição ocorra sem problemas de compatibilidade nos projetos legítimos, é recomendado atualizar agora para a versão 11.16.0 ou superior. Esta variante atual já apresenta avisos sobre as funções que vão deixar de atuar de forma invisível, permitindo identificar os fluxos de trabalho que vão precisar de aprovação manual antes da transição definitiva.

Foto do Autor

Aficionado por tecnologia desde o tempo dos sistemas a preto e branco

Ver perfil do usuário Enviar uma mensagem privada Enviar um email Facebook do autor Twitter do autor Skype do autor

conectado
Encontrou algum erro neste artigo?

Não perca nenhuma novidade!

Junte-se a milhares de leitores e receba as últimas notícias de tecnologia, análises e dicas diretamente no seu email.

Nenhum comentário

Seja o primeiro!





Aplicações do TugaTechAplicações TugaTechDiscord do TugaTechDiscord do TugaTechRSS TugaTechRSS do TugaTechSpeedtest TugaTechSpeedtest TugatechHost TugaTechHost TugaTech