Wichtiges ts-scan update

ts-scan update v1.5.2

Auf Basis der Ereignisse rund um den Shai-Hulud-Wurmhaben wir die Grundkonfiguration von unserem SCA Scanner ts-scan angepasst. Er führt in der Standard-Konfiguration keine Skripten aus der Sektion der package.json mehr aus. Stattdessen wird eine Warnung ausgegeben, dass eine ggf. unsichere Konfiguration vorliegt. Um die Skripten dennoch auszuführen, ist ab Version 1.5.2 dem Scan-Aufruf explizit der Parameter node:enableLifecycleScripts hinzuzufügen.

Wir empfehlen unseren Kunden und Benutzern, ts-scan auf die neueste Version – hier v1.5.2 – zu aktualisieren, um Ihre Umgebung besser vor böswilligen Aktivitäten zu schützen, die durch unerwünschte Skriptausführungen ausgelöst werden. BITTE BEACHTEN SIE: Dies ist keine durch ts-scan verursachte Schwachstelle. Die Fähigkeit, beliebige Skripten in der package.json zu verankern und ausführen zu lassen, ist eine Eigenschaft der Node-Umgebung. Diese existiert bereits seit geraumer Zeit und wurde auch bereits vor Jahren als mögliche Sicherheitslücke thematisiert. Jedoch wurde bisher nichts dagegen unternommen.