NPM paketeen biltegian segurtasun-arazo bat identifikatu da, paketeen jabeari edozein erabiltzaileri mantentzaile gisa gehitzeko aukera ematen diona erabiltzaile horren baimenik lortu gabe eta egindako ekintzaren berri izan gabe. Arazoa areagotzeko, behin hirugarren bat mantentzaile gisa gehituta, paketearen jatorrizko egileak bere burua kendu zezakeen mantentzaileen zerrendatik, hirugarrena paketearen arduradun bakar gisa utziz.
Arazoa aprobetxatu lezakete pakete gaiztoen sortzaileek garatzaile ezagunak edo enpresa handiak mantentzaileen kopuruari gehitzeko, erabiltzaileen konfiantza areagotzeko eta garatzaile errespetatuek paketearen erantzule direlako ilusioa sortzeko, nahiz eta egia esan. ez daukate zerikusirik eta ez dakit bere existentziaz ere. Adibidez, erasotzaile batek pakete gaizto bat argitaratu, mantentzailea alda dezake eta erabiltzaileak enpresa handi baten garapen berri bat probatzera gonbida ditzake. Zaurgarritasuna zenbait garatzaileren ospea zikintzeko ere erabil liteke, ekintza zalantzazkoen eta ekintza maltzurren abiarazle gisa aurkeztuz.
GitHub-i otsailaren 10ean jakinarazi zitzaion arazoaren berri eta apirilaren 26an npmjs.com-i zuzendutako arazoa konpondu zuen erabiltzaileei beste proiektu batean sartzeko adostasuna eskatuz. NPM pakete askoren garatzaileei beren baimenik gabe gehitu diren loturen paketeen zerrenda egiaztatzea gomendatzen zaie.
Iturria: opennet.ru