Npm 12 Reforça Segurança da Cadeia de Suprimentos ao Desabilitar Scripts de Instalação
Aprofundamento CEVIU
Aprofundamento
A segurança da cadeia de suprimentos de software deu um passo à frente com o lançamento do npm 12, que agora desativa por padrão scripts de instalação, dependências Git e URLs remotas. Essa medida exige que os desenvolvedores aprovem explicitamente essas ações, via uma 'allowlist' no arquivo package.json. Isso é crucial para mitigar ataques que exploram scripts maliciosos injetados em dependências, um vetor comum de comprometimento.
Além disso, o npm 12 está gradualmente descontinuando tokens de acesso granulares (GATs) que ignoravam a autenticação de dois fatores (2FA) para ações críticas. Agora, esses tokens são limitados a ambientes de 'staging', onde a publicação final requer aprovação humana com 2FA. Paralelamente, o pnpm 11.10 eleva a segurança ao introduzir tokens de autenticação de registro mais restritivos, vinculados a hosts específicos. Essa mudança impede que um token válido seja redirecionado por um arquivo de projeto comprometido, fechando uma porta para roubo de credenciais.
O que mudou
A cobertura anterior do CEVIU News, como nos artigos de 12 de junho de 2026 e 15 de junho de 2026, noticiou o GitHub preparando o terreno para estas mudanças, anunciando a intenção de desativar scripts automáticos e reforçar a segurança do npm na versão 12. O que antes era um plano e uma recomendação para se preparar, agora é uma realidade implementada. O npm 12 está oficialmente lançado com as configurações de segurança padrão que eram aguardadas.
A novidade também detalha o mecanismo exato da 'allowlist' e o cronograma para a deprecation completa dos tokens GATs que ignoravam o 2FA, incluindo a transição para publicação em 'staging' com aprovação humana. Isso mostra a evolução de um anúncio para a concretização e o refinamento das políticas de segurança do ecossistema npm.
Por que isso importa
A implementação dessas mudanças no npm 12 e pnpm 11.10 é um avanço significativo para a segurança da cadeia de suprimentos de software. Ao desativar scripts automáticos e exigir aprovação explícita, o GitHub dificulta a inserção e execução de código malicioso em projetos, protegendo desenvolvedores e usuários finais de ataques supply chain. Essa barreira de segurança reduz drasticamente o risco de comprometimento através de dependências.
A restrição e eventual deprecation de tokens que burlam o 2FA, aliada ao controle mais rígido de tokens em registos do pnpm, reforçam a integridade das publicações e acessos. Em um cenário onde ataques à cadeia de suprimentos são cada vez mais sofisticados, essas medidas elevam o padrão de segurança para o desenvolvimento de software, tornando o ambiente mais seguro para todos.
Linha do tempo
GitHub desativa scripts de execução automática no npm.
GitHub detalha reforço de segurança do npm na v12.
GitHub endurece actions/checkout para bloquear pwn requests comuns.
Npm 12 é lançado, desabilitando scripts de instalação por padrão.
Perguntas frequentes
Quais são as principais mudanças de segurança no npm 12?
O npm 12 desabilita por padrão scripts de instalação, dependências Git e instalações via URL remota. Agora, é preciso uma 'allowlist' explícita no arquivo package.json para permitir essas operações. Além disso, a versão restringe o uso de tokens de acesso granulares (GATs) que ignoravam a autenticação de dois fatores (2FA) para ações críticas.
Como o npm 12 afeta projetos existentes?
Projetos que dependem da execução automática de scripts de ciclo de vida ou que utilizam dependências Git ou de URL remotas precisarão ser atualizados. Será necessário adicionar uma 'allowlist' ao package.json para aprovar esses scripts e dependências, garantindo que tudo continue funcionando após a atualização para o npm 12.
O que são tokens de acesso granulares (GATs) e por que estão sendo descontinuados?
GATs são tokens de acesso que podiam, em certas configurações, ignorar o 2FA para realizar ações sensíveis. Eles estão sendo descontinuados porque representam um risco de segurança. O npm 12 limita seu uso a ambientes de 'staging' e exige aprovação humana com 2FA para publicações finais, reduzindo a superfície de ataque para credenciais comprometidas.
Como o pnpm 11.10 contribui para a segurança da cadeia de suprimentos?
O pnpm 11.10 introduz uma configuração '_auth' que vincula tokens de autenticação a hosts específicos. Isso significa que um token não pode ser redirecionado por um arquivo de projeto malicioso para um host diferente, protegendo contra roubo de credenciais e o uso indevido de tokens de registro em caso de comprometimento do projeto.
Fontes
- thehackernews.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 10 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

