피드로 돌아가기
Upcoming breaking changes for NPM v12
Hacker NewsHacker News
Security

npm v12: Opt-in 기반 보안 강화로 의존성 실행 경로 전면 통제

Upcoming breaking changes for NPM v12

2026년 6월 9일2intermediate

Context

패키지 설치 과정에서 자동 실행되는 스크립트와 원격 의존성 해결 방식의 보안 취약점 존재. 기존의 암묵적 실행 구조로 인해 신뢰하지 않는 코드의 무단 실행 가능성이 상존하는 한계점 노출.

Technical Solution

  • allowScripts 기본값 off 설정을 통한 preinstall, install, postinstall 등 의존성 스크립트 실행 차단
  • node-gyp 빌드 포함 모든 암묵적 rebuild 프로세스를 명시적 허용제로 변경하여 공급망 공격 경로 제거
  • --allow-git 기본값 none 설정을 통한 .npmrc 기반 Git executable 오버라이딩 공격 벡터 차단
  • --allow-remote 기본값 none 적용으로 원격 URL 기반 tarball의 무분별한 Resolve 과정 제한
  • npm approve-scripts 및 deny-scripts 명령어를 통한 패키지별 신뢰 목록의 package.json 명시적 관리

1. npm

1

1.

1

6.0+ 버전 업그레이드 후 설치 로그의 보안 경고 확인

2. npm approve-scripts --allow-scripts-pending 명령어로 차단 대상 패키지 식별

3. 신뢰 가능한 패키지만 선별하여 allowlist 구성 및 package.json 커밋 반영

4. Git 및 Remote 의존성 사용 시 --allow-git, --allow-remote 플래그 적용 필요성 검토

원문 읽기