チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
@boss_sec_labo
「npm installするたびに、知らないスクリプトが動いてるって本当でしゅか?」
「依存パッケージ経由でコードを実行されるって聞いて、何を確認すればいいか分からないんでしゅ……」
チップスうちのCIも npm install で全部おまかせでしゅ……これって危ないんでしゅか?
ボスふふふ、そこにGitHubがメスを入れた。npm v12でインストール時スクリプトが既定で止まる。意味を押さえれば、自社のビルドを安全にできるぞ。
本記事では、GitHubが発表したnpm v12のセキュリティ変更について、何が既定で無効になり、開発現場が何を準備すべきかを整理します。
読み終える頃には、サプライチェーン攻撃に強いnpm運用へ切り替える着眼点が手に入ります。
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
まずは何が、なぜ既定で無効になるのかを整理します。
npm installは、依存ツリー全体のpreinstall・install・postinstallスクリプトを自動で走らせます。
そのため、どこかひとつのパッケージが汚染されただけで、開発端末やCI環境で任意コードが動いてしまいます。
GitHubはこれを「npmで最大のコード実行面」と表現し、npm v12ではallowScriptsを既定でオフにして自動実行を止めます。
あわせてGit由来の依存(–allow-git)やリモートURL由来の依存(–allow-remote)も既定で遮断し、悪用の入口を狭めます。
主な変更点は以下のとおりです。
| 項目 | 内容 |
|---|---|
| 提供時期 | npm v12(2026年7月予定) |
| スクリプト | install系を既定で実行しない(承認制) |
| Git依存 | –allow-git を既定でnone(遮断) |
| リモート依存 | –allow-remote を既定でnone(遮断) |
| 狙い | 汚染パッケージ1本で広がる被害を防ぐ |
チップス依存のひとつが乗っ取られただけで、CI全体に広がっちゃうんでしゅか……。
ボスそこが急所だ。eslint-config-prettierやShai-Huludの一件も、この自動実行が悪用された。既定を閉じれば、同じ手は通りにくくなる。
既定が変わると、ビルドが止まる現場も出てきます。
native moduleのビルドなど、正規にスクリプトを必要とする依存は実際に存在します。
そこでGitHubは、まずnpm 11.16.0以降へ更新し、通常のインストールで表示される警告を確認するよう推奨しています。
そのうえで「npm approve-scripts –allow-scripts-pending」でスクリプトを持つパッケージを洗い出し、信頼できるものだけ承認してpackage.jsonをコミットします。
CIが自動実行に依存している場合は、承認済みの構成へ書き換えておけば、v12移行時の停止を避けられます。
移行に向けて進めたい手順は次のとおりです。
チップスいきなり止まると困るから、今のうちに警告を見ておけばいいんでしゅね。
ボスそういうことだ。前もって承認の棚卸しを済ませれば、7月の移行も慌てずに済むぞ。
npm v12は、install時スクリプトとGit・リモート依存を既定で止め、サプライチェーン攻撃の入口を狭める変更です。
開発現場はnpm 11.16.0以降で警告を確認し、信頼できる依存だけ承認する運用へ前倒しで移しておく必要があります。
既定が安全側に倒れる流れに合わせて、自社のビルドとCIを見直す好機といえます。
こうしたDevSecOps領域の実装に挑みたい方は、ぜひセキュリティフリーランス案件で多様な現場を経験してみてください。
参考: BleepingComputer「GitHub announces npm security changes to tackle supply-chain attacks」
オススメ案件
【CTO直下/最先端AIプロダクトのセキュリティ基盤構築】フルリモート/DevSecOps・LLMセキュリティ
【大手コンサル発/主要GRCプラットフォーム比較検証〜全体設計】豊洲(リモートメイン)/GRC・サイバーリスク定量化
【独立系コンサルファームで推進するPalo Alto製品群の導入支援】豊洲(基本リモート)/Prisma Access・SASE
【グローバルセキュリティ基盤強化】愛知県(リモート併用/フルリモート可)/IGA導入・マイクロセグメンテーション
【製造業セキュリティ部運用支援】赤坂・虎ノ門ヒルズ(週1日出社・週4日リモート)/Zscaler・SASE/FW運用
【ID移行・ゼロトラスト推進】虎ノ門(週1-2日出社/フルリモート可)/Entra ID・セキュリティ改善
【Microsoft 365・Intune環境の設計構築】神保町/セキュリティ・エンドポイント管理
【セキュリティ関連サービスの導入・構築・運用】小川町/EDR・MDM・認証基盤
【情報セキュリティモニタリング・IT資産構成管理支援】虎ノ門(リモート併用)/インフラ経験が活きるセキュリティ案件
【大手保険会社海外拠点向けCrowdStrike導入・IR支援】千代田区(リモート併用)/EDR・セキュリティエンジニア
