🔥 この記事の詳細
2026-06-11 更新
C
月内に

GitHubは、npmパッケージのインストール時にスクリプトを自動実行するデフォルト設定を廃止することを決定しました

脆弱性🌐 英語ソース📰 3記事🌐 2 countries
🇺🇸 US (2) · 🇬🇧 UK
🖥️ 製品GitHub
📅 2026-06-11📰 theregister
📌 一言でいうと
GitHubは、npmパッケージのインストール時にスクリプトを自動実行するデフォルト設定を廃止することを決定しました。この機能は「Shai-Hulud」などのワームに悪用され、開発者のマシンやCI環境で任意のコードを実行されるリスクがありました。npm 12(7月リリース予定)では、明示的な許可がない限り、preinstall、install、postinstallスクリプトが実行されなくなります。
🏢影響範囲
npmエコシステムを利用するすべてのソフトウェア開発者およびCI/CDパイプラインを運用する組織
該当時の対応
npm 12へのアップデートを確認し、必要なスクリプトがある場合は 'allow-scripts' 設定を適切に構成すること。また、信頼できないパッケージのインストールを避けること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】npm パッケージインストール時のスクリプト自動実行のデフォルト変更について

お疲れさまです。npmのセキュリティ設定変更に関する情報共有です。

■ 概要
npmのインストール時ライフサイクルスクリプト(preinstall, install, postinstall)が、デフォルトで自動実行されない仕様に変更されます。これは、Shai-Hulud wormのようなサプライチェーン攻撃により、依存関係に含まれる悪意あるパッケージが開発環境やCIランナーで任意のコードを実行するリスクを低減するためです。

■ 影響範囲
- 対象製品: npm 12 (2026年7月リリース予定)
- 影響: 既存のインストール時スクリプトに依存しているビルドプロセスが動作しなくなる可能性があります。

■ 対応手順
1. 7月リリース予定のnpm 12への移行計画を確認する。
2. 開発チームに対し、必要なスクリプトがある場合は `--allow-scripts` 等の明示的な許可設定が必要になることを周知する。
3. `.npmrc` ファイルにおける `--allow-git` フラグのデフォルトOFFに伴う影響を確認する。

■ 参考情報
- The Register: GitHub pulls pin on npm's auto-run scripts

対応優先度: 中
対応期限: 2026年7月(npm 12リリース時)
Subject: [Info] Changes to Default npm Install-time Script Execution

Hi all,

This is a technical update regarding security changes in the npm ecosystem.

■ Overview
GitHub is changing npm's defaults so that install-time lifecycle scripts (preinstall, install, postinstall) will no longer run automatically. This move aims to close a significant attack surface exploited by malware like the Shai-Hulud worm to achieve arbitrary code execution on developer machines and CI runners.

■ Scope
- Product/Version: npm 12 (Scheduled for July release)
- Impact: Build processes relying on automatic install scripts may break.

■ Action Plan
1. Review the transition plan for npm 12.
2. Inform development teams that scripts will now require explicit permission via 'allow-scripts'.
3. Verify the impact of the `--allow-git` flag defaulting to off, which prevents unauthorized remote dependency pulls via `.npmrc`.

■ Reference
- The Register: GitHub pulls pin on npm's auto-run scripts

Priority: Medium
Deadline: July 2026 (npm 12 release)
📰 関連する 2 件の記事
hackernewsGitHubは、サプライチェーン攻撃への対策として、npmバージョン12から「npm install」時のインストールスクリプトをデフォルト…bleepingGitHubは、サプライチェーン攻撃への対策としてnpm v12でセキュリティ変更を行うと発表しました
🔗 元の記事を読む
← トップへ戻る🗓 2026-06-11 のまとめ🔍 記事を検索