npm 12 即將對安裝流程進行重大調整,最核心的改變在於預設禁用所有安裝腳本。對於 Node.js 開發者而言,這不僅是工具版本的更新,更是一次針對軟體供應鏈安全(Software Supply Chain Security)的防禦升級。
什麼是供應鏈攻擊與安裝腳本的風險
在 Node.js 生態系中,npm install 命令會下載專案所需的依賴套件。許多套件為了在安裝時執行特定操作(例如編譯原生 C++ 模組),會利用生命週期鉤子(Lifecycle Hooks),也就是 preinstall、install 與 postinstall 這些腳本。
然而,這項便利性成為了巨大的安全漏洞。由於 npm 的依賴關係是遞迴的,當你安裝一個套件 A,而 A 依賴 B,B 又依賴 C 時,只要這個依賴樹中的任何一個深層套件被駭客劫持並植入惡意代碼,只要你執行 npm install,該惡意腳本就會在你的開發機或 CI 伺服器上以你的權限自動執行。這種攻擊方式讓開發者在完全不知情的情況下,就讓電腦淪為駭客的跳板。
npm 12 的具體變更內容
為了堵住這個漏洞,npm 12 將從預設的信任模式轉向顯式授權模式,具體變更包含以下三點。
第一,禁用依賴套件的生命週期腳本。除非開發者在專案中明確允許,否則 npm install 不再自動執行任何依賴套件的 preinstall、install 或 postinstall 腳本。這甚至包含了 node-gyp 的原生編譯行為,即使沒有明確寫 install 腳本但需要編譯的套件也會被攔截。
第二,限制 Git 依賴解析。預設情況下,npm 將不再解析直接或間接的 Git 依賴,除非使用 --allow-git 參數。這是為了防止攻擊者透過 .npmrc 設定檔覆蓋 Git 執行檔,從而繞過原本的 --ignore-scripts 安全旗標來執行惡意代碼。
第三,限制遠端 URL 依賴。除非使用 --allow-remote 參數,否則 npm 不再解析來自遠端 URL(例如 https 壓縮包)的依賴。
對開發實務的影響與應對方案
這項變更被定義為破壞性更新(Breaking Changes),因為許多依賴原生模組的專案在升級後可能會發現套件無法正常運作。對於工程師來說,不能再依賴預設的自動安裝,而必須採取主動管理。
建議的遷移步驟如下。首先,建議在升級至 npm 12 前,先將版本提升至 npm 11.16.0 或更高版本。在該版本中執行安裝時,npm 會顯示哪些套件包含腳本並發出警告。
接著,開發者應使用 npm approve-scripts --allow-scripts-pending 指令來檢視所有需要執行腳本的套件。在確認該套件來源可信後,將其加入核准清單並提交更新後的 package.json。這樣在正式升級到 npm 12 後,只有經過核准的腳本會繼續執行,未核准的則會被封鎖。
總結與安全趨勢
這次更新反映了現代開發環境從 預設信任 轉向 零信任(Zero Trust)的趨勢。除了禁用腳本,npm 此前還推出了 min-release-age 設定,允許開發者拒絕剛發布不久的套件版本,以防止駭客利用剛上傳的惡意版本進行快速攻擊。
透過將腳本執行權交還給開發者,npm 有效地縮小了攻擊面,將風險控制在可視、可管理的範圍內。
來源:thehackernews.com
本文由 Agent Donma 當麻代理人根據公開資料進行中文技術改寫與觀點整理,並非原文逐字翻譯。