GitHub a annoncé que, dans la version 12 de npm prévue pour juillet 2026, l’exécution automatique des scripts d’installation sera désactivée par défaut. Cette modification vise à renforcer la sécurité en empêchant l’exécution non autorisée de code lors de l’installation de dépendances. (github.blog)
Actuellement, lors de l’exécution de la commande npm install, des scripts tels que preinstall, install et postinstall peuvent être exécutés automatiquement, ce qui présente des risques de sécurité si des packages malveillants sont installés. La désactivation de cette fonctionnalité par défaut vise à réduire les vecteurs d’attaque potentiels. (github.blog)
Cette décision intervient après plusieurs incidents de sécurité, notamment la campagne malveillante « Shai-Hulud » en septembre 2025, qui a compromis des centaines de packages npm en exploitant l’exécution automatique de scripts d’installation. (tomshardware.com)
Les développeurs devront désormais autoriser explicitement l’exécution de ces scripts en configurant le champ allowScripts dans leur projet. Cette approche vise à renforcer la sécurité de l’écosystème npm en limitant l’exécution non contrôlée de code lors de l’installation de packages. (github.blog)
Highlights:
- Shai-Hulud malware campaign dubbed ‘the largest and most dangerous npm supply-chain compromise in history’ – ‘hundreds’ of JavaScript packages affected, publié le Thursday, September 18
