npm Доверенная публикация с OIDC теперь доступна — более безопасная публикация CI/CD для пакетов JavaScript
Основное обновление
npm (через платформу GitHub/npm) сделал "Доверенную публикацию" с OpenID Connect (OIDC) общедоступной. CI-системы теперь могут публиковать пакеты без встраивания долгоживущих токенов npm: вы настраиваете свой реестр на прием краткоживущих OIDC-утверждений из конкретных рабочих процессов GitHub Actions/GitLab CI или других OIDC-совместимых исполнителей, и реестр выдает временные учетные данные для публикации для этого выполнения рабочего процесса.
Почему это важно
Это одно из самых практичных улучшений безопасности цепочки поставок JavaScript на уровне развертывания за последние годы. Долгоживущие токены автоматизации часто становятся коренной причиной утечек секретов CI/CD или когда злоумышленники переходят от скомпрометированного исполнителя к публикации пакетов; переход на OIDC устраняет эту постоянную учетную запись из ваших конвейеров и делает автоматическую публикацию гораздо сложнее для злоупотребления. Для команд разработчиков и инженеров платформы немедленные, высокоценные действия легко спланировать и с низким уровнем трения протестировать: мигрировать задания публикации на рабочие процессы с поддержкой OIDC, обновить настройки публикации пакетов/организаций, чтобы доверять только этим рабочим процессам, вращать и убирать существующие токены npm, используемые только CI, и поддерживать обязательную двухфакторную аутентификацию (2FA) для действий публикации людьми. Это уменьшает радиус поражения украденных учетных данных CI и дополняет другие средства защиты (SBOM, sigstore/Sigstore происхождение, сканирование секретов и строгие политики 2FA) — но это не устраняет необходимость защищать учетные записи поддерживающих и защищаться от фишинга. Если вы публикуете пакеты из CI, приоритизируйте поэтапную миграцию в следующем спринте: преобразуйте один конвейер в OIDC, проверьте происхождение артефактов и автоматические публикации, затем удалите токен из вашего хранилища секретов и повторите для оставшихся конвейеров.
Источник
Читать дальше
Node.js v25 запланирован на 2025‑10‑15 — ожидается семантический мажорный релиз
30 сентября 2025 г.Node.js v25 запланирован на 15 октября 2025 года (крайний срок коммитов 2025‑09‑15). Команды должны запускать CI против нового мажора, проверять нативные модули и готовить канареечные деплои.
Azure Functions Proxies: поддержка сообщества заканчивается 2025‑09‑30 — мигрируйте с Proxies сейчас
29 сентября 2025 г.Microsoft объявила, что Azure Functions Proxies не будет поддерживаться после 2025‑09‑30; команды, все еще использующие Proxies, должны немедленно провести инвентаризацию и мигрировать на поддерживаемую API-платформу (APIM, Front Door или легкий обратный прокси).
NodeShield: принудительное соблюдение SBOM в реальном времени (CBOM) для Node.js ограничивает атаки на цепочку поставок с незначительными накладными расходами
28 сентября 2025 г.Новая статья представляет NodeShield, систему принудительного соблюдения в реальном времени, которая использует SBOM, дополненные возможностями по зависимостям (CBOM), чтобы предотвратить злоупотребления в цепочке поставок в Node.js с эффективностью ~98% и накладными расходами <1 мс.