Introduction
Github a annoncé deux mises à jour importantes pour améliorer la sécurité de la chaîne d'approvisionnement npm. La publication étagée est désormais disponible et de nouvelles options de contrôle sont ajoutées pour les installations.
Contexte Technique
La publication étagée permet aux mainteneurs de packages de vérifier et d'approuver les versions avant leur publication. Cette fonctionnalité est désormais disponible dans npm CLI 11.15.0 ou supérieur. Les options de contrôle d'installation ont également été étendues avec les flags --allow-file, --allow-remote et --allow-directory, qui complètent le flag --allow-git existant.
Ces flags permettent aux utilisateurs de contrôler les sources d'installation, notamment les chemins de fichiers locaux, les URL distantes et les répertoires locaux. Chaque flag peut être configuré pour accepter toutes les sources ou aucune, et peut également être défini dans les fichiers de configuration .npmrc ou package.json.
Analyse et Implications
Ces mises à jour visent à renforcer la sécurité de la chaîne d'approvisionnement npm en donnant aux mainteneurs de packages un contrôle plus précis sur les versions publiées et en limitant les risques d'attaques par les dépendances. Les utilisateurs peuvent désormais choisir de publier des versions de packages de manière étagée, ce qui nécessite une approbation explicite avant la publication.
Les nouvelles options de contrôle d'installation offrent également une plus grande flexibilité et sécurité pour les utilisateurs, leur permettant de contrôler les sources d'installation et de réduire les risques de vulnérabilités.
Perspective
Il est important de noter que ces mises à jour sont disponibles dans npm CLI 11.15.0 ou supérieur, et que les utilisateurs doivent mettre à jour leurs workflows de CI/CD pour utiliser la publication étagée. Les utilisateurs peuvent également partager leurs commentaires et questions sur la communauté GitHub.
