文章总结： GitHub为npm推出分阶段发布功能，要求包维护者完成双重验证并手动审批后才能公开发布软件包，有效防御供应链攻击。同时新增三项安装来源限制参数（–allow-file、–allow-remote、–allow-directory），配合现有–allow-git参数可对非官方仓库安装来源设置白名单权限。该更新针对近期频发的开源生态攻击事件，建议开发者升级npm至11.15.0以上版本并搭配OIDC可信发布模式使用。 综合评分： 85 文章分类： 供应链安全,安全工具,解决方案,安全运营,WEB安全

npm 新增双重验证发布权限与包安装管控功能，抵御供应链攻击

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月25日 08:51 湖北

在小说阅读器读本章

去阅读

GitHub 为 npm 上线多项全新管控功能，加固软件供应链安全，包维护者可在安装包对外开放前手动审核放行。

该功能名为分阶段发布，目前已正式全面启用。规则要求维护者完成双重身份验证，才可将软件包推送至 npm 官网。

GitHub 介绍：软件包不再一键直接发布、即刻可供下载，打包文件会先存入待发布队列，必须经维护者手动审批后，才能对外安装使用。

隶属于微软的 GitHub 表示，此次更新能核验每一次发布均为真人操作，即便非交互式 CI/CD 流程、依托 OIDC 协议的可信发布操作也全部纳入验证范围。

启用分阶段发布需满足以下条件：

1. 具备对应软件包的发布权限
2. 软件包已托管在 npm 仓库，全新包暂不支持该功能
3. 账号已开启双重验证

开发者可在包根目录执行npm stage publish命令提交至待审核区，使用该指令需将 npm 命令行升级至 11.15.0 及以上版本。官方建议搭配 OIDC 可信发布模式，防护效果更佳。

npm 同步新增三项安装来源限制参数，与原有--allow-git参数配合使用：

• --allow-file

  ：管控本地文件与压缩包安装

• --allow-remote

  ：管控网络地址资源安装

• --allow-directory

  ：管控本地目录安装

开发者可凭借这些参数，对所有非官方仓库的安装来源统一设置白名单权限。

近期针对开源生态的供应链攻击频发，黑客组织 TeamPCP 通过持续入侵篡改海量热门开源包，此次安全升级以此为背景推出。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《npm 新增双重验证发布权限与包安装管控功能，抵御供应链攻击》