GitHub’dan Önemli Güvenlik Güncellemeleri
GitHub, güvenlik açıklarını azaltmak amacıyla npm’in yeni sürümünü resmi olarak duyurdu. Bu güncelleme, otomatik olarak çalışan kurulum betiklerinin varsayılan olarak devre dışı bırakılması ve iki faktörlü kimlik doğrulamanın (2FA) atlatılmasına yönelik granular erişim belirteçlerinin (GAT) kullanımdan kaldırılması gibi önemli değişiklikler içeriyor.
Geçen Değişiklikler
Güncellemeye göre, daha önce otomatik olarak çalışan bazı npm install davranışları artık isteğe bağlı hale getirilmiştir:
- allowScripts: Varsayılan olarak kapalıdır; yani bağımlılık yaşam döngüsü betikleri (preinstall, install, postinstall) ve dolaylı node-gyp derlemeleri artık açıkça izin verilmedikçe çalışmayacaktır.
- –allow-git: Varsayılan olarak “none”dur; dolayısıyla, Git bağımlılıkları (doğrudan veya dolaylı) açıkça izin verilmedikçe çözülmeyecektir.
- –allow-remote: Varsayılan olarak “none”dur; uzak URL’lerden (örneğin, https tarball’ları) bağımlılıklar açıkça izin verilmedikçe çözülmeyecektir.
Kullanıcılar, onaylı betikleri gözden geçirip onaylamak için şu komutu çalıştırmaları gerekecek: npm approve-scripts –allow-scripts-pending, ardından elde edilen izin listesini package.json dosyasına eklemeleri gerekecek.
Yeni Özellikler
Son npm sürümü ile birlikte gelen iki yeni değişiklik ise şunlardır:
- GAT’ler, 2FA’yi atlatmak üzere yapılandırıldığında hassas hesap, paket ve organizasyon yönetim işlemlerini gerçekleştiremeyecekler. Bu işlemlere, belirteç oluşturma veya silme, kurtarma kodları üretme ve npm hesap parolasını, e-posta adresini, profili veya 2FA yapılandırmasını değiştirme gibi işlemler dahildir.
- GAT’ler, doğrudan yayın yapma yeteneğini kaybedecekler. Yayınlama yetkileri, özel paketleri okuma ve bir yayını sahneleme ile sınırlı kalacak; bir paket yalnızca insan onayı ile 2FA gerektirildiğinde yayına girecektir.
İlk değişikliğin etkisi Ağustos 2026’nın başlarında beklenmektedir. Bu süre zarfında, belirtilen işlemler için 2FA bypass belirteçlerinin kullanılmadan etkileşimli olarak 2FA ile gerçekleştirilmesi önerilmektedir. İkinci değişikliğin ise Ocak 2027’de yürürlüğe girmesi planlanmaktadır.
Güvenlik Önlemleri ve Öneriler
GitHub, “Otomatik yayını güvenilir yayınlama (OIDC) veya insan onay aşaması ile sahnelenmiş yayınlama yöntemlerine taşımayı planlayın” şeklinde bir uyarıda bulunmuştur.
Ayrıca, pnpm 11.10 sürümü, kayıt doğrulamasını yapılandırmak için yeni bir _auth ayarı sunarak, kimlik bilgileri ve ait olduğu host’un birlikte gitmesini sağlamaktadır. Bu, kötü niyetli bir projenin dosyasının geçersiz kılınarak bir belirteci başka bir hosta yönlendirilmesini engellemektedir.
Sonuç ve Eylem Önerisi
Kullanıcıların yapması gerekenler:
- npm’i 11.16.0 veya daha yenisine güncelleyin.
- Otomatik kurulum komutlarını dikkatlice gözden geçirin ve güvenilir olmayan betikleri devre dışı bırakın.
- 2FA bypass belirteçlerini kullanmaktan kaçının ve tüm hassas işlemleri 2FA ile gerçekleştirin.
Güvenlik açıklarından etkilenmemek için bu önerilere uyulması büyük önem taşımaktadır. Herhangi bir sorunla karşılaşıldığında, gerekli güvenlik güncellemelerini hızlıca uygulamak ve yapılandırmaları dikkatlice gözden geçirmek gerekmektedir.


