أطلقت جيت هب إصدار إن بي إم 12 مع تعطيل سكربتات التثبيت افتراضياً، في خطوة تستهدف خفض مخاطر هجمات سلاسل التوريد على المطورين.
ما الجديد في إن بي إم 12 للمطورين؟
الإصدار الجديد من npm 12 يغير واحدة من أكثر السلوكيات حساسية داخل بيئة JavaScript، إذ لم تعد بعض سكربتات التثبيت تعمل تلقائياً كما كان يحدث في السابق. هذا التغيير يعني أن تشغيل الأوامر المرتبطة بالحزم أصبح يحتاج موافقة صريحة من المطور.
الهدف هنا واضح: تقليل فرص استغلال الحزم الخبيثة أو المعدلة لتمرير أوامر ضارة أثناء التثبيت. ووفقاً لما رصدته تيكبامين، فإن هذا التوجه يعكس تشديداً أكبر على أمن أدوات التطوير بعد تزايد الهجمات التي استهدفت مستودعات الحزم خلال الأعوام الأخيرة.
كيف تتم الموافقة على السكربتات الموثوقة؟
بدلاً من التشغيل التلقائي، أصبح على المستخدم مراجعة السكربتات الموثوقة وإقرارها يدوياً. ويمكن تنفيذ ذلك عبر الأمر المخصص للموافقة، ثم حفظ قائمة السماح الناتجة داخل ملف package.json.
- تعطيل تشغيل سكربتات التثبيت بشكل افتراضي
- اعتماد آلية موافقة يدوية على السكربتات الموثوقة
- حفظ قائمة السماح داخل package.json
- تقليل احتمالات تنفيذ أوامر ضارة دون علم المطور
لماذا يعد إن بي إم 12 مهماً لأمن سلاسل التوريد؟
تكمن أهمية إن بي إم 12 في أنه يعالج نقطة ضعف عملية طالما استغلها المهاجمون: الاعتماد على التشغيل التلقائي لسكربتات الحزم. فعند إصابة مكتبة شائعة أو إدخال تعليمات خبيثة إلى مشروع مفتوح المصدر، قد ينتقل الخطر مباشرة إلى جهاز المطور أو بيئة البناء.
ومن هنا، فإن التحول إلى نموذج "الاختيار المسبق" بدلاً من "التشغيل التلقائي" يمنح الفرق التقنية طبقة حماية إضافية، خصوصاً في المشاريع الكبيرة التي تعتمد على عدد ضخم من الحزم والاعتماديات.
ماذا يحدث لرموز الوصول التي تتجاوز التحقق الثنائي؟
التحديث لم يتوقف عند السكربتات فقط، إذ أعلنت جيت هب أيضاً بدء التخلص التدريجي من رموز الوصول الدقيقة التي كانت تسمح بتجاوز المصادقة الثنائية 2FA في بعض العمليات. هذه الخطوة تستهدف تضييق المساحة أمام الممارسات القديمة الأقل أماناً.
وبحسب الجدول الزمني المعلن، من المتوقع بدء تطبيق أول تغيير في أوائل أغسطس 2026، بينما يأتي التغيير الثاني في يناير 2027. وخلال هذه الفترة، تنصح الشركة المطورين بالتحول إلى أساليب نشر أكثر أماناً بدلاً من الاعتماد على رموز نشر طويلة العمر.
- أوائل أغسطس 2026: بدء أول تغيير مرتبط برموز تجاوز 2FA
- يناير 2027: دخول التغيير الثاني حيز التنفيذ
- الخيار الموصى به: Trusted Publishing عبر OIDC
- بديل إضافي: النشر المرحلي مع موافقة بشرية
كيف يؤثر ذلك على أدوات مثل بي إن بي إم؟
بالتوازي مع ذلك، قدم pnpm 11.10 إعداداً جديداً باسم _auth لتنظيم بيانات المصادقة الخاصة بالسجل بطريقة أكثر تماسكاً. الفكرة الأساسية هي ربط بيانات الاعتماد بالمضيف الصحيح، ومنع ملفات المشروع المحلية من إعادة توجيه الرموز إلى وجهات خبيثة.
هذه التحركات تكشف أن سوق أدوات JavaScript يتجه نحو تشديد أمني أوسع، وليس مجرد تحديث منفصل. وفي تقدير تيكبامين، فإن اعتماد إن بي إم 12 مبكراً سيمنح فرق التطوير فرصة أفضل لاختبار تدفقات العمل الجديدة وتفادي مفاجآت الأمان مستقبلاً.