GitHub'dan npm v12 ile Tedarik Zinciri Saldırılarına Karşı Sert Önlemler Linux

GitHub'dan npm v12 ile Tedarik Zinciri Saldırılarına Karşı Sert Önlemler

GitHub, npm v12 ile kurulum betiklerini, Git bağımlılıklarını ve uzak URL'leri varsayılan olarak engelleyerek tedarik zinciri saldırılarına karşı önem

Microsoft bünyesindeki GitHub, npm paket yöneticisinin yeni sürümü v12'yi duyurarak yazılım tedarik zinciri saldırılarına karşı önemli bir adım attı. 9 Haziran'da yayımlanan blog yazısında, npm geliştiricileri, paket yöneticisini örtülü güven modelinden açık izin modeline geçirecek üç güvenlik odaklı kırıcı değişiklik duyurdu. Temmuz 2026'dan itibaren kullanıma sunulacak bu değişiklikler, ekosistemin bağımlılıkları ele alma biçiminde temel bir değişimi temsil ediyor.

npm v12'de üç tarihsel olarak izin verici varsayılan tersine çevrilecek: Kurulum betikleri engellenecek, yani npm install çalıştırıldığında artık arka plan betikleri (preinstall, install, postinstall veya node-gyp rebuild gibi yerel C/C++ derlemeleri) otomatik olarak yürütülmeyecek; Git bağımlılıkları engellenecek, yani özel Git URL'lerinden bağımlılık çözümleme varsayılan olarak engellenecek; ve uzak URL'ler engellenecek, yani resmi kayıtlardan değil de doğrudan dış URL'lerden veya HTTPS tarball'larından paket sağlanması varsayılan olarak yasaklanacak. Geliştiriciler bu geçişe hazırlanmak için mevcut npm sürüm 11.16.0 veya daha yenisine yükselterek isteğe bağlı uyarılar alabilir ve yeni npm approve-scripts komutunu kullanarak bağımlılıklarını denetleyebilir.

Semgrep'in kurucusu ve CEO'su Isaac Evans, bu değişimi destekleyerek yazılım tedarik zinciri saldırılarının ekonomik gerçeklerinin, her geliştiricinin her tehdidi tek tek yakalamasına güvenmek yerine yapısal savunmalar gerektirdiğini belirtti. Evans, 'Miasma gibi solucanlar mükemmel bir isabet oranına ihtiyaç duymaz. Değiştirmesi ve yeniden çalıştırması ucuzdur ve oyun kitabının bazı bölümleri ifşa olduğu için genişletilmesi daha kolaydır. Bu nedenle, kurulum betikleri ve kayıt dışı bağımlılıklar konusunda daha güçlü varsayılanlar anlamlı bir adımdır.' dedi. Ancak Evans, genel paket yöneticileri bu kapıları kapatırken saldırganların Artifactory ve Nexus gibi özel kurumsal depolara yöneleceği uyarısında bulundu.

Gelecekte Ne Bekleniyor?

Açık Kaynak Kötü Amaçlı Yazılım sitesinde 10 Haziran'da yayımlanan analizinde, güvenlik araştırmacısı Paul McCarty (6mile olarak da bilinir), güncellemelerin uzun süredir var olan kusurları giderirken, geliştirici sürtüşmesine yol açarsa güvenlik tiyatrosuna dönüşebileceği konusunda uyardı. McCarty, GitHub'ı bu üç yüksek riskli varsayılanı kullanımdan kaldırdığı için takdir etse de, yaygın benimsenme takvimi konusunda endişeli olduğunu belirtti. Ayrıca, 'Bu yapıyor' ve 'Bu kötü amaçlı yazılıma daha az eğilimli' seçeneği arasında birincinin her zaman kazanacağını vurgulayarak, geliştiricilerin körü körüne onay verme eğiliminde olacağını söyledi. McCarty, güvenlik araştırmacıları için istenmeyen bir sonuca da dikkat çekti: 'Masum ve kötü niyetli aynı şüpheli desende buluşuyor. Sonuçta, tuhaf ama güvenli paketlerden oluşan bir seli triyajlayarak gerçekten kötü olanları bulmaya çalışıyoruz ve kötü olanlar, meşru davranışların çoğu artık aynı göründüğü için daha iyi bir kılıf buluyor.'

Paylaş: