Pro la kreskantaj kazoj de deponejoj de grandaj projektoj estas kaperitaj kaj malica kodo reklamita per la kompromiso de programkontoj, GitHub enkondukas ĝeneraligitan vastigitan kontkontrolon. Aparte, deviga dufaktora aŭtentigo estos enkondukita por prizorgantoj kaj administrantoj de la 500 plej popularaj NPM-pakaĵoj komence de la venonta jaro.
De la 7-a de decembro 2021 ĝis la 4-a de januaro 2022, ĉiuj prizorgantoj kiuj havas la rajton publikigi NPM-pakaĵojn, sed ne uzas dufaktoran aŭtentikigon, estos ŝanĝitaj al uzado de plilongigita kontkontrolo. Altnivela konfirmo postulas enigi unufojan kodon senditan retpoŝte kiam vi provas ensaluti en la retejon npmjs.com aŭ plenumi aŭtentikigitan operacion en la ilo npm.
Plibonigita konfirmo ne anstataŭigas, sed nur kompletigas, la antaŭe disponeblan laŭvolan dufaktoran aŭtentikigon, kiu postulas konfirmon per unufojaj pasvortoj (TOTP). Kiam dufaktora aŭtentigo estas ebligita, plilongigita retpoŝta konfirmo ne estas aplikata. Ekde la 1-a de februaro 2022, la procezo de ŝanĝado al deviga dufaktora aŭtentigo komenciĝos por la prizorgantoj de la 100 plej popularaj NPM-pakaĵoj kun la plej granda nombro da dependecoj. Post kompletigado de la migrado de la unua cent, la ŝanĝo estos distribuita al la 500 plej popularaj NPM-pakaĵoj laŭ nombro da dependecoj.
Krom la nuntempe disponebla dufaktora aŭtentikigskemo bazita sur aplikoj por generi unufojajn pasvortojn (Authy, Google Authenticator, FreeOTP, ktp.), en aprilo 2022 ili planas aldoni la kapablon uzi aparatarŝlosilojn kaj biometriajn skaniloj, por kiu ekzistas subteno por la WebAuthn-protokolo, kaj ankaŭ la kapablo registri kaj administri diversajn kromajn aŭtentikigfaktorojn.
Ni memoru, ke, laŭ studo farita en 2020, nur 9.27% de pakaĵaj prizorgantoj uzas dufaktoran aŭtentikigon por protekti aliron, kaj en 13.37% de kazoj, registrinte novajn kontojn, programistoj provis reuzi kompromititajn pasvortojn, kiuj aperis en. konataj pasvortfuĝoj. Dum pasvorta sekureca revizio, 12% de NPM-kontoj (13% de pakaĵoj) estis aliritaj pro la uzo de antaŭvideblaj kaj bagatelaj pasvortoj kiel "123456". Inter la problemaj estis 4 uzantkontoj el la Top 20 plej popularaj pakaĵoj, 13 kontoj kun pakaĵoj elŝutitaj pli ol 50 milionoj da fojoj monate, 40 kun pli ol 10 milionoj da elŝutoj monate, kaj 282 kun pli ol 1 miliono da elŝutoj monate. Konsiderante la ŝarĝon de moduloj laŭ ĉeno de dependecoj, kompromiso de nefidindaj kontoj povus influi ĝis 52% de ĉiuj moduloj en NPM.
fonto: opennet.ru