Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Yazı Tipi BoyutlandırıcıAa
  • Anasayfa
  • Teknoloji
    • Siber Güvenlik
    • Yapay Zeka
    • Donanım
    • Bilim
  • Yazılım
  • Savunma & İstihbarat
  • Oyun
  • Yaşam
    • Finans
    • Sinema
    • Dünyadan Haberler
  • İş Birliği
Okuma: Acil: GitHub, Tedarik Zinciri Saldırıları İçin npm Kurulumlarını Devre Dışı Bırakıyor
Paylaş
Yazı Tipi BoyutlandırıcıAa
Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Ara
Bizi Takip Et
  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti
© 2026 Teknomers. All Rights Reserved.

Anasayfa » Acil: GitHub, Tedarik Zinciri Saldırıları İçin npm Kurulumlarını Devre Dışı Bırakıyor

Siber Güvenlik

Acil: GitHub, Tedarik Zinciri Saldırıları İçin npm Kurulumlarını Devre Dışı Bırakıyor

teknomers
Son güncelleme: 11 Haziran 2026 10:42
teknomers
Paylaş
Paylaş

Değişikliklerin Önemi

NPM versiyon 12’de, yazılım tedarik zinciri tehditlerine karşı koymak amacıyla varsayılan olarak yükleme scriptlerinin devre dışı bırakılacağı “kırıcı değişiklikler” açıklandı. Bu değişiklikler, “npm install” komutunun kötü niyetli kodun çalıştırılmasını tetikleme şeklindeki istismarlarını engellemeyi hedefliyor.

Contents
  • Değişikliklerin Önemi
  • Saldırı Nasıl Çalışıyor?
  • Etkilenen Sistemler
  • Çözüm ve Korunma
  • Sonuç

Saldırı Nasıl Çalışıyor?

“Npm install” komutu, bir Node.js projesi için gerekli tüm bağımlılıkların indirilip yüklenmesini sağlar. GitHub, yükleme zamanı lifecycle scriptlerini NPM ekosistemindeki en büyük kod yürütme yüzeyi olarak tanımlıyor. Bu komut, her transitive bağımlılıktan scriptlerin çalıştırılmasına neden olabiliyor; bu da bağımlılık ağacındaki tek bir tehlikeli paketin geliştirici makinesinde veya CI koşucusunda rastgele kod çalıştırmasına olanak tanıyor.

Etkilenen Sistemler

Bu değişiklikler, tüm geliştirici araçlarına ve NPM kullanan projelere etki edebilir. Özellikle:

  • npm install artık bağımlılıklardan preinstall, install veya postinstall scriptlerini çalıştırmayacak, yalnızca projede açıkça izin verilmiştir.
  • npm install, açıkça belirtilmedikçe Git bağımlılıklarını (doğrudan veya transitive) çözmeyecek.
  • npm install, açıkça izin verilmedikçe remote URL’lerden (örneğin, https tarball’ları) bağımlılıkları çözmeyecek.

GitHub, varsayılan olarak –allow-git ayarını “none” olarak belirleyerek, daha önce de bahsedilen kötü niyetli kod yürütme yollarını kapatarak sistem güvenliğini artırmayı hedefliyor.

Çözüm ve Korunma

Geliştiricilerin bu değişikliklere hazırlık yapmaları için NPM’in 11.16.0 veya daha yeni bir versiyonuna geçiş yapmaları öneriliyor. Yapılması gerekenler:

  • Güncel sürümü yükleyin ve normal yükleme işlemini gerçekleştirin.
  • Açıklanan uyarıları gözden geçirin.
  • npm approve-scripts –allow-scripts-pending komutunu kullanarak script içeren paketleri görüntüleyin.
  • Güvendiğiniz paketleri onaylayarak güncellenmiş package.json dosyasını kaydedin. Onaylamadığınız her şey güncelleme sonrası durdurulacaktır.

Ayrıca, bu yılın başlarında npm, yeni yayınlanan kötü niyetli paketlere karşı koruma sağlamak amacıyla min-release-age ayarını tanıttı; bu ayar, belirli bir günden daha az bir süre içinde yayınlanan paket versiyonlarını reddedecektir.

Sonuç

Geliştiriciler, npm 12 sürümüne geçiş yapmadan önce gerekli güncellemeleri yapmalı ve yükleme scriptlerini dikkatle incelemelidir. Ayrıca, güvenlik risklerini azaltmak için yalnızca güvendikleri paketlerin scriptlerini onaylamalıdırlar. Beklenmedik kötü niyetli yazılım saldırılarına karşı proaktif bir yaklaşım sergilemek hayati önem taşımaktadır.

Apple Fitness+ kararlara yöneliyor: Kalıcı alışkanlıklar oluşturmak için 3 aylık ücretsiz deneme
Mac’lerde Apple Silicon için sırada ne var?
Fidye Yazılımı: Son Bölüm
Shark Tank yatırımcısı, platformun ABD’de yasaklanmasını önlemek için TikTok’u satın alacağını söyledi
iPhone 15 tasarımı dört model için de belli oldu — ve yine Profesyoneller kazandı
ETİKETLENDİ:AcilBırakıyordevredışıGithubiçinkurulumlarınıNpmSaldırılarıtedarikZinciri
Bu Makaleyi Paylaş
Facebook Bağlantıyı Kopyala Yazdır
Paylaş
Önceki Makale Fable’da 1,000 Romantik Seçenekle Tamamlayıcılar için Müthiş Bir Deneyim
Sonraki Makale Nottingham Üniversitesi Veri İhlali: 450,000 Öğrenciyi Tehdit Ediyor!

Sanal Medya

FacebookBeğen
452Takip Et
PinterestSabitle
237Takip Et

Son Eklenenler

Acil: FortiBleed Kimlik Hırsızlığı Lynx Fidye Yazılımına Bağlandı
Siber Güvenlik
Lime Kamu Olma Yolunda Kararlılıkla İlerliyor
Genel
Yeşil gömlek giyen kullanıcıyı kandırarak yasaklı bilgileri açığa çıkarmak
Donanım
Acil: 19 Yaşındaki Scattered Spider Şüphelisi ABD’ye İade Edildi
Siber Güvenlik
Microsoft’un Büyük Yeniden Yapılanması: Xbox’ta Neler Olacak?
Liste
Goose: Yeni Gay Flört Uygulaması, Bir Psyop Olabilir Mi?
Genel
//

Siber güvenlik, yapay zeka ve savunma sanayiinden; finans ve sinema dünyasına uzanan geniş bir yelpaze. Teknomers; teknoloji, strateji ve yazılım dünyasını sade bir dille sizlerle buluşturuyor.

Kurumsal

  • Hakkımızda
  • Gizlilik politikası
  • Tanıtım Yazısı ve Backlink Hizmeti

Kategoriler

  • Teknoloji
  • Oyun
  • Sinema
  • Siber Güvenlik
  • Bilim
  • Finans
  • Dünyadan Güncel Haberler

Populer

  • TV'de Ücretsiz İzlenebilen Şifresiz Erotik Kanallar (2025 Güncel Frekans Listesi)

  • The Last of Us PC Kontrolleri: Hızlı Silah Değiştirme ve Tüm Tuşlar (2025)

  • Hogwarts Legacy'de Odaklanma İksiri Nasıl Yapılır?

Teknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor HaberleriTeknomers | Dünyadan Güncel Teknoloji | Oyun | Müzik | Film | Spor Haberleri
Bizi Takip Et
© 2026 Teknomers. All Rights Reserved.
Welcome Back!

Sign in to your account

Kullanıcı Adı veya E-posta Adresi
Şifre

Şifrenizi mi unuttunuz?