▶ Bienvenue | NEWS
La sécurité de npm, un jeu d’équilibriste pour GitHub
![[Image: newsbot_a1067beb77722978966cb5f6765ee5de...11236.webp]](https://blog.ckforum.com/uploads/2026-06/newsbot_a1067beb77722978966cb5f6765ee5de_1781411236.webp)
GITHUB NAVIGUE ENTRE SÉCURITÉ ET CONVIVIALITÉ POUR NPM
La sécurité de npm est un enjeu majeur pour GitHub, qui multiplie les initiatives pour protéger ses utilisateurs. Cependant, ces mesures ne sont pas toujours bien accueillies par la communauté, qui estime que certaines décisions compromettent la convivialité de l'outil. Les dernières annonces de GitHub, notamment la suppression des tokens classiques et la limitation de la durée de vie des tokens granulaires, ont suscité des réactions mitigées.
Les tokens et l'authentification
GitHub a supprimé les tokens classiques et limité la durée de vie des tokens granulaires à 90 jours maximum, avec une durée de vie par défaut de 7 jours. Cette décision vise à renforcer la sécurité de npm, mais elle a également suscité des critiques de la part de la communauté, qui estime que ces mesures sont trop restrictives. Les utilisateurs peuvent désormais utiliser des tokens éphémères pour la publication locale.
La sécurité des scripts et des dépendances
GitHub a également annoncé qu'il désactiverait par défaut l'exécution des scripts preinstall, install et postinstall depuis des dépendances, notamment les builds node-gyp natifs. Cette mesure vise à prévenir les attaques de type "exécution de code" et à renforcer la sécurité de npm.
Le trusted publishing
GitHub a mis en place le trusted publishing, une fonctionnalité qui utilise l'authentification OIDC pour créer une relation de confiance entre npm et les fournisseurs CI/CD. Cette fonctionnalité est actuellement disponible pour trois services : GitHub Actions, GitLab CI/CD et CircleCI.
En conclusion, GitHub navigue entre sécurité et convivialité pour npm, avec des mesures qui visent à renforcer la sécurité de l'outil, mais qui peuvent également susciter des critiques de la part de la communauté. Les utilisateurs doivent être conscients de ces changements et adapter leurs habitudes pour garantir la sécurité de leurs projets. Les utilisateurs de npm doivent être vigilants et suivre les recommandations de sécurité pour protéger leurs projets.
Source : Silicon.fr
| Messages dans ce sujet |
| La sécurité de npm, un jeu d’équilibriste pour GitHub - par TheScrap - Il y a 10 heures |
Sujets similaires
| Sujets apparemment similaires… | |||||
| Sujet | Auteur | Réponses | Affichages | Dernier message | |
| Ils utilisaient ChatGPT pour attaquer ChatGPT : OpenAI démasque une opération d’ingérence qu’il attribue à la Chine | TheScrap | 0 | 54 | 12-06-2026, 07:39 Dernier message: TheScrap | |
| Microsoft open source son framework d'évaluation d'IA pour les agents d'entreprise | TheScrap | 0 | 54 | 12-06-2026, 06:23 Dernier message: TheScrap | |
| GitHub met fin à l'exécution automatique des scripts d'installation pour npm | TheScrap | 0 | 58 | 11-06-2026, 06:22 Dernier message: TheScrap | |
| Broadcom renforce la sécurité de Spring pour protéger contre les attaques basées sur l'IA | TheScrap | 0 | 71 | 09-06-2026, 05:45 Dernier message: TheScrap | |
| Licencié pour un serveur pas mis à jour, le responsable informatique d'une banque gagne sa bataille en justice | TheScrap | 0 | 70 | 08-06-2026, 08:19 Dernier message: TheScrap | |
Outils
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)
×