ProHoster > بلوق > أخبار الإنترنت > يطبق GitHub التحقق الإلزامي الممتد من الحساب في NPM

يطبق GitHub التحقق الإلزامي الممتد من الحساب في NPM

نظرًا لتزايد حالات اختطاف مستودعات المشاريع الكبيرة والترويج للتعليمات البرمجية الضارة من خلال اختراق حسابات المطورين، يقدم GitHub التحقق الموسع من الحساب على نطاق واسع. بشكل منفصل، سيتم تقديم المصادقة الثنائية الإلزامية للمشرفين والمسؤولين عن 500 حزمة NPM الأكثر شعبية في أوائل العام المقبل.

من 7 ديسمبر 2021 إلى 4 يناير 2022، سيتم تحويل جميع المشرفين الذين لديهم الحق في نشر حزم NPM، ولكن لا يستخدمون المصادقة الثنائية، إلى استخدام التحقق الموسع من الحساب. يتطلب التحقق المتقدم إدخال رمز لمرة واحدة يتم إرساله عبر البريد الإلكتروني عند محاولة تسجيل الدخول إلى موقع npmjs.com أو إجراء عملية مصادق عليها في الأداة المساعدة npm.

لا يحل التحقق المعزز محل المصادقة الثنائية الاختيارية المتوفرة مسبقًا، بل يكملها فقط، والتي تتطلب تأكيدًا باستخدام كلمات مرور لمرة واحدة (TOTP). عند تمكين المصادقة الثنائية، لا يتم تطبيق التحقق الموسع من البريد الإلكتروني. اعتبارًا من 1 فبراير 2022، ستبدأ عملية التحول إلى المصادقة الثنائية الإلزامية لمشرفي أكثر 100 حزمة NPM شيوعًا مع أكبر عدد من التبعيات. بعد الانتهاء من ترحيل المائة الأولى، سيتم توزيع التغيير على 500 حزمة NPM الأكثر شيوعًا حسب عدد التبعيات.

بالإضافة إلى نظام المصادقة الثنائية المتوفر حاليًا استنادًا إلى تطبيقات إنشاء كلمات مرور لمرة واحدة (Authy وGoogle Authenticator وFreeOTP وما إلى ذلك)، يخططون في أبريل 2022 لإضافة القدرة على استخدام مفاتيح الأجهزة والماسحات الضوئية البيومترية، حيث يوجد دعم لبروتوكول WebAuthn، وكذلك القدرة على تسجيل وإدارة عوامل المصادقة الإضافية المختلفة.

دعونا نتذكر أنه وفقًا لدراسة أجريت عام 2020، فإن 9.27% ​​فقط من مشرفي الحزم يستخدمون المصادقة الثنائية لحماية الوصول، وفي 13.37% من الحالات، عند تسجيل حسابات جديدة، حاول المطورون إعادة استخدام كلمات المرور المخترقة التي ظهرت في تسرب كلمة المرور المعروفة. أثناء فحص أمان كلمة المرور، تم الوصول إلى 12% من حسابات NPM (13% من الحزم) بسبب استخدام كلمات مرور تافهة ويمكن التنبؤ بها مثل "123456". ومن بين الحسابات التي بها مشكلات، 4 حسابات مستخدمين من أفضل 20 حزمة شعبية، و13 حسابًا بها حزم تم تنزيلها أكثر من 50 مليون مرة شهريًا، و40 حسابًا بأكثر من 10 ملايين تنزيل شهريًا، و282 مع أكثر من مليون تنزيل شهريًا. مع الأخذ في الاعتبار تحميل الوحدات عبر سلسلة من التبعيات، قد يؤثر اختراق الحسابات غير الموثوق بها على ما يصل إلى 1% من جميع الوحدات في NPM.

المصدر: opennet.ru

إضافة تعليق