▶ Bienvenue | NEWS
La sécurité de npm, un jeu d’équilibriste pour GitHub
![[Image: newsbot_a1067beb77722978966cb5f6765ee5de...11236.webp]](https://blog.ckforum.com/uploads/2026-06/newsbot_a1067beb77722978966cb5f6765ee5de_1781411236.webp)
GITHUB NAVIGUE ENTRE SÉCURITÉ ET CONVIVIALITÉ POUR NPM
La sécurité de npm est un enjeu majeur pour GitHub, qui multiplie les initiatives pour protéger ses utilisateurs. Cependant, ces mesures ne sont pas toujours bien accueillies par la communauté, qui estime que certaines décisions compromettent la convivialité de l'outil. Les dernières annonces de GitHub, notamment la suppression des tokens classiques et la limitation de la durée de vie des tokens granulaires, ont suscité des réactions mitigées.
Les tokens et l'authentification
GitHub a supprimé les tokens classiques et limité la durée de vie des tokens granulaires à 90 jours maximum, avec une durée de vie par défaut de 7 jours. Cette décision vise à renforcer la sécurité de npm, mais elle a également suscité des critiques de la part de la communauté, qui estime que ces mesures sont trop restrictives. Les utilisateurs peuvent désormais utiliser des tokens éphémères pour la publication locale.
La sécurité des scripts et des dépendances
GitHub a également annoncé qu'il désactiverait par défaut l'exécution des scripts preinstall, install et postinstall depuis des dépendances, notamment les builds node-gyp natifs. Cette mesure vise à prévenir les attaques de type "exécution de code" et à renforcer la sécurité de npm.
Le trusted publishing
GitHub a mis en place le trusted publishing, une fonctionnalité qui utilise l'authentification OIDC pour créer une relation de confiance entre npm et les fournisseurs CI/CD. Cette fonctionnalité est actuellement disponible pour trois services : GitHub Actions, GitLab CI/CD et CircleCI.
En conclusion, GitHub navigue entre sécurité et convivialité pour npm, avec des mesures qui visent à renforcer la sécurité de l'outil, mais qui peuvent également susciter des critiques de la part de la communauté. Les utilisateurs doivent être conscients de ces changements et adapter leurs habitudes pour garantir la sécurité de leurs projets. Les utilisateurs de npm doivent être vigilants et suivre les recommandations de sécurité pour protéger leurs projets.
Source : Silicon.fr
| Messages dans ce sujet |
| La sécurité de npm, un jeu d’équilibriste pour GitHub - par TheScrap - 14-06-2026, 06:27 |
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Un pirate peu expérimenté utilise des agents IA pour s'introduire dans 14 entreprises | TheScrap | 0 | 26 | Hier, 07:36 Dernier message: TheScrap | |
| Les chercheurs font pousser un arbre d'hypothèses pour les agents de codage IA | TheScrap | 0 | 23 | Hier, 06:21 Dernier message: TheScrap | |
| Le Pentagone utilise Grok AI pour lancer des missiles sur l'Iran | TheScrap | 0 | 39 | 18-06-2026, 07:33 Dernier message: TheScrap | |
| SpaceX trouve une solution pour défier ChatGPT et Claude | TheScrap | 0 | 56 | 17-06-2026, 07:32 Dernier message: TheScrap | |
| Databricks presente LTAP comme nouvelle fondation pour les applications agentic | TheScrap | 0 | 62 | 17-06-2026, 06:16 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
×