GitHub agrega publicación por etapas a npm para bloquear ataques automatizados a la cadena de suministro

GitHub ha introducido una importante actualización de seguridad en el ecosistema npm con la disponibilidad general de la publicación por etapas y nuevos controles durante la instalación, destinados a reducir los ataques automatizados a la cadena de suministro dirigidos a paquetes de código abierto. La función de publicación por etapas recientemente lanzada cambia la forma en que los paquetes npm se publican y distribuyen.

GitHub agrega npm Staging Este enfoque introduce un punto de control de seguridad crítico, especialmente para los flujos de trabajo automatizados de CI/CD, que con frecuencia son objetivo de ataques a la cadena de suministro. GitHub recomienda combinar la publicación por etapas con la publicación confiable mediante OpenID Connect (OIDC). Además de la publicación por etapas, GitHub ha introducido nuevos indicadores de seguridad durante la instalación en npm 11.15.0. Por ejemplo, una organización puede configurar su entorno para bloquear todas las instalaciones que no provengan del registro oficial: Establecer –allow-remote=none Establecer –allow-file=none Establecer –allow-directory=none Permitir solo paquetes de registros confiables Combinado con la publicación por etapas, esto crea una canalización controlada donde tanto la creación como el consumo de paquetes están estrictamente protegidos.

Al introducir validación humana y controles de dependencias más estrictos, GitHub está moviendo npm hacia un modelo de cadena de suministro de confianza cero. La publicación GitHub agrega publicación por etapas a npm para bloquear ataques automatizados a la cadena de suministro apareció por primera vez en Cyber Security News.

Consultar publicación original ↗