GitHub ha lanzado una importante mejora de seguridad en el ecosistema npm con la disponibilidad general de la publicación escalonada y nuevos controles en tiempo de instalación, diseñados para mitigar ataques automatizados en la cadena de suministro que afectan paquetes de código abierto. Esta función requiere aprobación manual para la publicación de paquetes, reforzando la defensa contra compromisos automáticos en pipelines CI/CD. Además, introduce controles granulares sobre orígenes permitidos para dependencias durante la instalación.
Solución
Actualizar a npm CLI versión 11.15.0 o superior y modificar los flujos de trabajo para utilizar la publicación escalonada mediante el comando npm stage publish.
Recomendaciones
Se recomienda implementar la publicación escalonada y combinarla con la autenticación confiable usando OpenID Connect (OIDC), además de configurar las nuevas banderas de seguridad en tiempo de instalación para restringir fuentes no autorizadas, reduciendo así la superficie de ataque. Validar manualmente todas las publicaciones desde dispositivos confiables y restringir instalaciones solo a registros oficiales.