Yazılım dünyasının kalbi konumundaki GitHub, geliştiricilerin korkulu rüyası hâline gelen npm saldırılarına karşı kılıcını çekti. Önümüzdeki ay yayınlanacak npm 12 sürümüyle birlikte kurulum sırasında devreye giren betikler artık varsayılan olarak çalıştırılmayacak. İşte detaylar…
Geliştiriciler bugüne kadar npm install komutunu kullandığında, projeye eklenen bazı paketlerin kurulum dosyaları kendiliğinden çalışıyordu. Bu denetimsiz işleyiş, arka planda gizlenen kötü amaçlı içeriklerin kullanıcının bilgisayarına ya da geliştirme ortamına sızmasını sağlıyordu. GitHub yaptığı değişiklikle bu açığı kapatıyor. Bu şekilde zararlı paketlerin etkisi daha kurulum aşamasında sınırlandırılıyor.
Sistemin işleyişinde kontrol büyük ölçüde geliştiriciye geçecek. Kodların aktif hâle gelmesi için kullanıcının açık onayı şart koşulacak. Böylece tehlikeli yazılımlar arka planda sessizce çalışmak yerine kapıda güvenlik kontrolüne takılacak. Güvenilen paketler ise geliştiricinin izniyle çalıştırılabilecek.
Alınan önlemlerin kurulum aşamasıyla sınırlı olmadığını belirtelim. İnternet adreslerinden ya da farklı depo kaynaklarından çekilen dosyalar da engellenecek. Geliştirici özel yetki vermediği sürece sistem dışarıdan gelen hiçbir bağlantıya kapıyı açmayacak. GitHub, kullanıcıların bu keskin değişime hazırlıksız yakalanmaması adına sistem uyarılarını dikkate almalarını tavsiye ediyor.
