GitHub는 npm install 스크립트를 기본적으로 비활성화해 공급망 공격을 방지하겠다고 발표했다.
GitHub는 npm 버전 12에 대해 '중대한 변경사항'을 발표했다. 이 변경사항 중 하나는 공급망 공격을 방지하기 위해 기본적으로 install 스크립트를 비활성화하는 것이다. 이는 'npm install' 명령을 악용해 악성 코드를 실행하는 공격 기법에 대응하기 위한 조치이다. 이러한 변화는 소프트웨어 보안을 강화하는 데 중요한 역할을 할 것으로 보인다.
GitHub announced disabling npm install scripts by default to prevent supply chain attacks.
GitHub has announced 'breaking changes' for npm version 12, one of which disables install scripts by default to combat supply chain attacks. This change targets attack techniques that misuse the 'npm install' command to execute malicious code through npm lifecycle hooks. Such measures are expected to play a crucial role in enhancing software security.