GitHub, Yazılım Tedarik Zinciri Saldırılarını Önlemek için npm'yi Güncelleyecek Windows

GitHub, Yazılım Tedarik Zinciri Saldırılarını Önlemek için npm'yi Güncelleyecek

NPM, yazılım tedarik zinciri saldırılarını önlemek amacıyla npm paket yöneticisinin yeni sürümünü (v12) duyurdu....

NPM, yazılım tedarik zinciri saldırılarını önlemek amacıyla npm paket yöneticisinin yeni sürümünü (v12) duyurdu.

9 Haziran'da yayınlanan bir blog yazısında, Microsoft'un sahibi olduğu GitHub'daki bir npm geliştirici ekibi, paket yöneticisini örtülü güven modelinden açık katılım modeline geçirecek güvenlik odaklı üç önemli değişikliği duyurdu.

Temmuz 2026'dan itibaren geçerli olacak bu değişiklikler, ekosistemin bağımlılıkları ele alma biçiminde temel bir değişimi temsil ediyor.

Npm v12'de, tarihsel olarak izin verilen üç varsayılan değer tersine çevrilecektir:

Engellenen kurulum komut dosyaları: npm kurulumunu çalıştırmak artık arka plan komut dosyalarını (ön kurulum, kurulum, kurulum sonrası veya node-gyp yeniden oluşturma gibi yerel C/C++ yapıları gibi) otomatik olarak yürütmez ve kötü amaçlı kodun kurulum sırasında hemen yürütülmesini engeller.

Engellenen Git bağımlılıkları: Saldırganların komut dosyası kısıtlamalarını atlamak için özel Git yapılandırmalarını kullanmasını önlemek için bağımlılıkların doğrudan özel Git URL'lerinden çözümlenmesi varsayılan olarak engellenecektir.

Engellenen uzak URL'ler: Paketlerin resmi kayıtlar yerine doğrudan harici URL'lerden veya HTTPS tarball'larından kaynaklanması, açıkça izin verilmediği sürece varsayılan olarak yasaklanacaktır.

Önemli Gelişmeler

Bu geçişe hazırlanmak için geliştiriciler, isteğe bağlı uyarılar almak üzere halihazırda mevcut npm 11.16.0 sürümüne veya daha yeni bir sürüme yükseltme yapabilirler. Ayrıca bağımlılıklarını denetlemek, engellenen komut dosyalarını belirlemek ve doğrudan package.json dosyasında yerel politika izin verilenler listesi oluşturmak için yeni npm onay-scripts komutunu da kullanabilirler.

Güvenlik Uzmanları Dikkat: Bir Kapıyı Kapatmak Diğerlerini Açabilir

Gelecekte Ne Bekleniyor?

Semgrep'in kurucusu ve CEO'su Isaac Evans, bu değişimi destekledi ve yazılım tedarik zinciri saldırılarının ekonomik gerçeklerinin, geliştiricilerin her tehdidi bireysel olarak yakalamasına güvenmek yerine yapısal savunma gerektirdiğini belirtti.

"Tedarik zinciri saldırılarının ekonomisinin değiştiği açık hale geldi. Miasma gibi solucanların mükemmel bir isabet oranına ihtiyacı yok. Değiştirilmesi ucuz, yeniden çalıştırılması ucuz ve taktik kitabının bazı kısımları açığa çıktığı için genişletilmesi artık daha kolay" dedi.

Sistem Güvenliği

"Bu, yükleme komut dosyaları ve kayıt dışı bağımlılıklar konusunda daha güçlü varsayılanları anlamlı bir adım haline getiriyor."

Ayrıca, her geliştiriciden her kötü paketi zamanında yakalamasını istemek yerine, genel tepkinin yapısal korkuluklara doğru ilerlediğini de belirtti.

Uzmanların Görüşleri

Ancak Evans, halka açık paket yöneticileri bu kapıları kapattıkça saldırganların Artifactory ve Nexus gibi özel kurumsal depolara yöneleceği konusunda uyardı.

"Npm ve PyPI daha kolay yolları kapatırsa, saldırganlar bir sonraki güvenilir katmanı arayacaktır" dedi.

6mile olarak da bilinen güvenlik açığı araştırmacısı Paul McCarty, daha temkinli bir bakış açısı sunarak, güncellemelerin uzun süredir devam eden kusurları ele alırken, geliştiricilerin sürtüşmesine yol açması halinde güvenlik alanına da girebileceği konusunda uyardı.

McCarty, web sitesi Açık Kaynaklı Kötü Amaçlı Yazılım'da 10 Haziran'da yayınlanan bir analizde GitHub'u bu üç son derece savunmasız varsayılanı kullanımdan kaldırdığı için övdü, ancak yaygın olarak benimsenmesi için zaman çizelgesi konusunda endişelerini sürdürdüğünü söyledi.

Ayrıca, geliştirmenin tamamlanması bir geliştiricinin birincil hedefi olduğundan, çoğu kişinin uyarıları atlamak için engellenen komut dosyalarını körü körüne onaylayacağını ekledi.

McCarty, "Seçim 'bu yapı' ve 'bu kötü amaçlı yazılımlara daha az eğilimli' olduğunda birincisi her zaman kazanacaktır" diye uyardı.

Detaylar ve Etkileri

Ayrıca güvenlik araştırmacıları için istenmeyen bir sonucun da altını çizerek, iyi niyetli paket koruyucularının yeni blokları atlamak için şüpheli görünen geçici çözümlere başvurabileceği konusunda uyardı.

"İyi huylu ve kötü niyetli olanlar aynı şüpheli görünen düzende birleşiyor. Garip ve aslında kötü olanları bulmak için tuhaf ama güzel paketlerden oluşan bir seli tetikliyoruz ve kötü olanlar tam olarak daha iyi korunuyor çünkü pek çok meşru davranış artık aynı şekilde görünüyor" diye uyardı.

Paylaş: