Mit npm v12 schafft GitHub mehrere sicherheitskritische Standardeinstellungen des Node.js-Paketmanagers ab. Die für Juli 2026 angekündigte Hauptversion führt Installationsskripte aus Abhängigkeiten künftig nicht mehr automatisch aus. Auch Git- und Remote-Abhängigkeiten installiert npm nur noch, wenn Entwickler sie ausdrücklich freigeben. Damit will GitHub einen der wichtigsten Angriffswege in der Software-Lieferkette schließen: die automatische Codeausführung während eines npm install.

npm ist der Standard-Paketmanager des Node.js-Ökosystems und gehört zu den meistgenutzten Paketverwaltungen überhaupt. Moderne Anwendungen ziehen oft Hunderte oder Tausende direkte und indirekte Abhängigkeiten nach. Entsprechend groß ist die Angriffsfläche. Seit Jahren warnen Sicherheitsforscher vor Angriffen auf die Lieferkette, bei denen Schadcode über übernommene Pakete, gestohlene Maintainer-Konten oder manipulierte Installationsskripte in Entwicklungsumgebungen gelangt. Besonders gefährlich sind Mechanismen, die schon beim Installieren eines Pakets Code ausführen – oft, bevor Entwickler die Anwendung überhaupt gestartet haben.

Installationsskripte laufen nicht mehr automatisch

Genau hier setzt die wichtigste Neuerung von npm v12 an. Künftig führt der Paketmanager Installationsskripte aus Abhängigkeiten standardmäßig nicht mehr aus. Das betrifft die Lifecycle-Skripte preinstall, install und postinstall. Auch native Erweiterungen, die npm bislang automatisch über node-gyp kompiliert, baut der Paketmanager nicht mehr ohne Freigabe. Dasselbe gilt für bestimmte prepare-Skripte aus Git-, Datei- oder verlinkten Abhängigkeiten.

Bislang genügt ein einfaches npm install, um solche Skripte automatisch auszuführen. Viele Pakete nutzen den Mechanismus für legitime Zwecke, etwa um zusätzliche Binärdateien herunterzuladen oder native Komponenten zu kompilieren. Dieselbe Funktion gilt aber seit Jahren als attraktiver Angriffsweg: Über ein manipuliertes Installationsskript lässt sich Schadcode bereits während der Installation ausführen. Der Code kann zum Beispiel Umgebungsvariablen auslesen, Zugangsdaten abgreifen oder weitere Schadsoftware nachladen.

Freigaben per Allowlist

An die Stelle des automatischen Ausführens tritt ein Modell mit Freigabeliste. Entwickler bestimmen künftig selbst, welche Pakete ihre Installationsskripte ausführen dürfen. Diese Freigaben hinterlegt npm im Projekt, sodass Teams sie zusammen mit dem Quellcode versionieren können.

Wer früh umstellen will, kann das bereits tun: Schon npm 11.16.0 warnt vor Skripten, die der Paketmanager künftig blockiert. Mit dem Befehl npm approve-scripts --allow-scripts-pending lässt sich prüfen, welche Abhängigkeiten betroffen wären; mit npm approve-scripts lassen sich die vertrauenswürdigen Pakete anschließend freigeben.

Git- und Remote-Abhängigkeiten unter Vorbehalt

Auch beim Umgang mit Git-Abhängigkeiten zieht npm die Zügel an. Pakete, die direkt aus einem Git-Repository stammen, blockiert der Paketmanager künftig standardmäßig; Entwickler müssen solche Quellen ausdrücklich erlauben. GitHub begründet den Schritt mit einem Angriffsweg, über den sich aus einer Git-Abhängigkeit heraus Code ausführen ließ – selbst dann, wenn Installationsskripte eigentlich unterdrückt waren. Hinzu kommt, dass sich Git-Abhängigkeiten generell schwerer kontrollieren lassen als Pakete aus dem regulären npm-Registry.

Eine ähnliche Hürde gilt künftig für Remote-Abhängigkeiten, also Pakete, die direkt von einer URL stammen, etwa als TAR-Archiv per HTTPS. Auch sie installiert npm nur noch nach ausdrücklicher Freigabe. Solche Abhängigkeiten umgehen die übliche Registry-Infrastruktur und erschweren es, ihre Herkunft nachzuvollziehen. GitHub will so verhindern, dass externe Quellen unbemerkt in die Abhängigkeitskette geraten.

Was Entwickler jetzt tun sollten

Mehr Sicherheit bedeutet für Entwickler und Unternehmen zunächst mehr Aufwand. Wer bislang auf Installationsskripte, Git-Abhängigkeiten oder externe Paketquellen setzt, muss seine Build- und CI/CD-Prozesse prüfen und die nötigen Komponenten freigeben. GitHub rät, schon jetzt auf npm 11.16.0 oder neuer zu wechseln und die ausgegebenen Warnungen auszuwerten.

Alle Probleme der JavaScript-Lieferkette löst npm v12 allerdings nicht. Schadcode, der direkt im Anwendungscode eines Pakets steckt, gelangt weiterhin auf die Systeme. Auch kompromittierte Maintainer-Konten, Typosquatting oder verwundbare Bibliotheken fängt der neue Ansatz nicht ab. Für die Sicherheit von Entwicklungs- und Build-Umgebungen dürfte er dennoch eine der weitreichendsten Änderungen der vergangenen Jahre sein.

Weitere Details nennt GitHub im Changelog-Eintrag zu den anstehenden Breaking Changes für npm v12.

(fo)

Google arbeitet seit Jahren an der Echtzeit-Übersetzung, um damit Sprachbarrieren zu überwinden. Mit „Gemini 3.5 Live Translate“ will Google diesem Ziel näher gekommen sein. Das neue KI-Modell wird weltweit in der Übersetzungs-App für Android und iOS eingeführt – erste Nutzer haben es bereits. Auch in Google Meet soll es einziehen.

Automatische Erkennung von 70 Sprachen

Laut der Ankündigung soll „Gemini 3.5 Live Translate“, ein Familienmitglied der Gemini-3.5-Reihe, die Google im Zuge der I/O angekündigt hat, in der Lage sein, über 70 Sprachen automatisch zu erkennen. Es könne außerdem natürlich klingende Übersetzungen erstellen, die die Intonation, das Sprechtempo und die Stimmlage des Sprechers beibehalten. Ferner kann es Google zufolge kontinuierlich übersetzte Sprache generieren, während andere Systeme oftmals auf den Abschluss eines Sprechers warten.

Gemini 3.5 Live Translate wird zum einen weltweit in der Übersetzungs-App für Android und iOS verfügbar sein. Für Android führt der Konzern zum anderen einen neuen „Hörmodus“ ein. Neben der Möglichkeit, Echtzeit-Übersetzungen über Kopfhörer zu hören, bietet der Modus auch die Option, Übersetzungen direkt über die Hörmuschel des Smartphones zu hören.

Google Meet

„Gemini 3.5 Live Translate“ wird laut Google außerdem in Google Meet integriert. Sobald die Funktion verfügbar ist, soll sie in der Anwendung Support für mehr als 70 Sprachen bieten – bislang stehen in Meet nur fünf Sprachen zur Wahl. Laut Google sind damit über 2000 Sprachkombinationen in einem Meeting möglich. Bisher funktionierte die Sprachübersetzung in Meet nur vom und ins Englische. Ferner arbeite Google an der Überarbeitung der Bedienoberfläche von Meet, damit Nutzerinnen und Nutzer schneller auf die Sprachübersetzung zugreifen können.

Die neue Version der Sprachübersetzung in Meet werde zunächst als private Vorschau für ausgewählte Google-Workspace-Geschäftskunden eingeführt. Die Einführung ist für einen noch nicht festgelegten Zeitpunkt im Laufe dieses Monats geplant, im Laufe des Jahres soll sie weiteren Nutzern zur Verfügung gestellt werden. Entwickler erhalten Zugriff auf die neue Gemini-Version als Public Preview über die Gemini Live API und Google AI Studio.

Wie bei anderen von Google KI-generierten Inhalten soll auch das von Gemini 3.5 Live Translate erzeugte Audio mit einem SynthID-Wasserzeichen versehen werden. Dabei handelt es sich um ein digitales Wasserzeichen.

(afl)

Viele kleine und mittelgroße Unternehmen (KMU) stehen vor der Herausforderung, ihre IT-Infrastruktur für mobiles Arbeiten und Cloud-Dienste zu rüsten. Das lokale Active Directory (AD) und die Gruppenrichtlinienobjekte (GPOs) genügen dann nicht mehr als alleinige Kontrollinstanz. Eine moderne und zentrale Geräteverwaltung (Mobile Device Management, MDM) erfordert mehr als nur die Verlagerung von Daten und Anwendungen in die Cloud: Die Unternehmensdaten und die Endgeräte, auf denen sie abgelegt sind, müssen auch außerhalb des eigenen Netzwerks geschützt werden.

Microsoft hat sein MDM-Produkt Intune, das alle Arten von Endgeräten verwaltet, mittlerweile als Cloud-Angebot in die Business- und Enterprise-Pläne von Microsoft 365 (M365) integriert. Da immer mehr Kunden vom lokalen Office zum Cloud-Angebot wechseln, ist Intune für viele Firmen bereits Teil ihrer M365-Lizenz – ohne Mehrkosten. Administratoren müssen die Umstellung auf oder die Einführung von Intune sorgfältig planen.

Der Artikel vermittelt wichtige Grundinformationen zu Intune, Anwendungstipps sowie konkrete Schritte zur Umsetzung und zur Vermeidung von Fehlern.

Das war die Leseprobe unseres heise-Plus-Artikels „MDM aus der Cloud: So funktioniert der Umstieg auf Microsoft Intune“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.