O GitHub anunciou a versão 12 do npm, que traz mudanças significativas na segurança. A partir dessa versão, os scripts de instalação, como preinstall, install e postinstall, estão desativados por padrão, exigindo que os usuários os ativem explicitamente. Além disso, as dependências de git e URLs remotos também não serão resolvidas automaticamente, aumentando a segurança ao evitar a execução de códigos potencialmente maliciosos sem consentimento. Outra mudança importante é a descontinuação dos tokens de acesso granular (GATs) que permitiam contornar a autenticação de dois fatores (2FA). A partir de agosto de 2026, esses tokens não poderão mais realizar ações sensíveis, como gerenciar contas e pacotes, e a publicação de pacotes será limitada a um processo que requer aprovação humana com 2FA. Essas alterações visam fortalecer a segurança na cadeia de suprimentos de software, um aspecto crítico na era digital atual. O GitHub recomenda que os desenvolvedores atualizem para versões mais recentes do npm e adotem práticas de publicação mais seguras, como a publicação confiável com OIDC ou a publicação em etapas com aprovação humana.
Fonte: https://thehackernews.com/2026/07/npm-12-disables-install-scripts-by.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
09/07/2026 • Risco: ALTO
TECNOLOGIA
GitHub desativa scripts de instalação por padrão no npm 12
RESUMO EXECUTIVO
As mudanças no npm 12 visam mitigar riscos de segurança, especialmente em relação à execução de scripts maliciosos e à gestão de contas. A desativação de GATs que burlam a 2FA é um passo importante para proteger dados sensíveis e garantir a conformidade com regulamentações como a LGPD.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis custos associados a incidentes de segurança se não forem implementadas as mudanças.
Operacional
Aumento da segurança na instalação de pacotes e na gestão de contas.
Setores vulneráveis
['Tecnologia da Informação', 'Desenvolvimento de Software']
📊 INDICADORES CHAVE
Desativação de scripts de instalação por padrão.
Indicador
Tokens GATs não poderão realizar ações sensíveis a partir de agosto de 2026.
Contexto BR
Publicação de pacotes exigirá aprovação humana com 2FA a partir de janeiro de 2027.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a versão do npm utilizada em projetos e atualizar para a versão 12.
2
Implementar a revisão de scripts de instalação e adotar práticas de publicação mais seguras.
3
Monitorar continuamente as práticas de autenticação e a execução de scripts em ambientes de desenvolvimento.
🇧🇷 RELEVÂNCIA BRASIL
As alterações impactam diretamente a segurança de aplicações que utilizam npm, uma ferramenta essencial para muitos desenvolvedores.
⚖️ COMPLIANCE
As mudanças têm implicações diretas na conformidade com a LGPD, especialmente em relação à segurança de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).