GitHub har sluppet npm 12, melder The Hacker News. Tre standardinnstillinger er snudd. allowScripts er av, slik at preinstall, install og postinstall ikke lenger kjøres, og implisitte node-gyp-bygg utgår. --allow-git står på none, så git-avhengigheter blir ikke løst opp, verken direkte eller transitivt. --allow-remote står også på none, som stenger avhengigheter hentet fra vilkårlige https-tarballer.
Dette er angrepsflaten som har båret de fleste npm-ormene de siste årene. Et kompromittert pakkelager har historisk fått kodekjøring på maskinen din i det øyeblikket du kjørte npm install, uten at du åpnet en eneste fil. Å kreve et eksplisitt ja flytter den beslutningen fra pakkeforfatteren til deg.
Godkjenning gjøres med npm approve-scripts --allow-scripts-pending. Kommandoen skriver en tillatelsesliste til package.json som du sjekker inn, slik at resten av teamet og CI arver de samme valgene.
GitHub strammer samtidig inn på tokens. Granulære tilgangstokens som er satt opp til å omgå tofaktor, mister retten til å endre kontoer, pakker og organisasjoner fra tidlig august 2026. Fra januar 2027 kan de heller ikke publisere direkte: de kan lese private pakker og forberede en publisering, men pakken blir først offentlig etter at et menneske har godkjent med tofaktor.
«Planlegg å flytte automatisert publisering til trusted publishing med OIDC, eller til trinnvis publisering med et menneskelig godkjenningssteg, framfor et langlevd publiseringstoken.» — GitHub
Hva bør du gjøre?
- Oppgrader først til npm 11.16.0 eller nyere og kjør et vanlig
npm install. Advarslene der viser hvilke pakker som stopper på npm 12. - Sjekk inn tillatelseslisten fra
npm approve-scriptssammen medpackage.json, ellers ryker CI mens alt virker lokalt. - Bytt ut publiseringstokens med OIDC-basert trusted publishing før august. Fristen for kontoendringer kommer først.