GitHub v pondělí oznámil, že „v blízké budoucnosti“ změní možnosti ověřování a publikování v reakci na nedávnou vlnu útoků na dodavatelský řetězec zaměřených na ekosystém npm, včetně útoku Shai-Hulud. Chce tak řešit hrozby představované zneužitím tokenů a samoreplikujícím se malwarem, které v poslední době ohrožují repozitář npm.
GitHubu proto začne pro lokální publikování vyžadovat dvoufaktorovou autentizací (2FA) a granulární tokeny, které budou mít omezenou životnost sedm dní. Nasadí také povinné důvěryhodné publikování, které umožňuje bezpečně publikovat balíčky npm přímo z CI/CD pomocí OpenID Connect (OIDC).
Důvěryhodné publikování kromě eliminace potřeby tokenů také zajišťuje kryptografickou důvěryhodnost tím, že ověřuje každé vydání pomocí krátkodobých přihlašovacích údajů specifických pro daný postup, které nelze odcizit ani znovu použít. Ještě významnější je, že npm CLI automaticky generuje a publikuje osvědčení o původu balíčku.
Uvědomujeme si, že některé změny v oblasti zabezpečení, které provádíme, mohou vyžadovat aktualizaci vašich pracovních postupů. Tyto změny budeme zavádět postupně, abychom minimalizovali narušení provozu a zároveň posílili bezpečnostní opatření npm,
píše k oznámení změn Xavier René-Corail z GitHubu.
Důvěryhodné publikování je bezpečnostní funkce doporučená pracovní skupinou OpenSSF Securing Software Repositories Working Group, protože odstraňuje potřebu bezpečně spravovat tokeny pro API v systému sestavování. Jako první jej zavedl projekt PyPI v dubnu 2023, následoval RubyGems (prosinec 2023), Crates.io (červenec 2025), npm (také červenec 2025) a nejnověji NuGet (září 2025).
Když npm vydalo podporu pro důvěryhodné publikování, bylo naším záměrem nechat tuto novou funkci růst přirozeně. Útočníci nám však ukázali, že nečekají. Důrazně doporučujeme projektům, aby co nejdříve přijaly důvěryhodné publikování pro všechny podporované správce balíčků,
dodává zpráva GitHubu.
