GitHub tau tshaj tawm ob qhov xwm txheej hauv nws cov NPM pob chaw cia khoom. Thaum Lub Kaum Ib Hlis 2, cov kws tshawb fawb txog kev ruaj ntseg thib peb (Kajetan Grzybowski thiab Maciej Piechota), uas yog ib feem ntawm Bug Bounty program, tau tshaj tawm tias muaj qhov tsis zoo hauv NPM chaw cia khoom uas tso cai rau koj tshaj tawm cov ntawv tshiab ntawm txhua pob siv koj tus account, uas tsis tau tso cai los ua cov kev hloov tshiab no.
Qhov tsis zoo yog tshwm sim los ntawm kev tso cai tsis raug rau hauv cov cai ntawm microservices uas ua haujlwm thov rau NPM. Cov kev tso cai tso cai ua pob ntawv tso cai kuaj raws li cov ntaub ntawv dhau los hauv qhov kev thov, tab sis lwm qhov kev pabcuam uas tau muab qhov hloov tshiab rau lub chaw khaws cia tau txiav txim siab pob los tshaj tawm raws li cov ntsiab lus metadata ntawm cov pob upload. Yog li, tus neeg tawm tsam tuaj yeem thov kom tshaj tawm qhov hloov tshiab rau nws pob, uas nws nkag tau, tab sis qhia meej hauv pob nws tus kheej cov ntaub ntawv hais txog lwm pob, uas yuav kawg hloov kho.
Qhov teeb meem tau raug kho 6 teev tom qab qhov muaj qhov tsis zoo tau tshaj tawm, tab sis qhov muaj qhov tsis zoo tau tshwm sim hauv NPM ntev dua li telemetry log npog. GitHub tau lees tias tsis muaj ib qho kev tawm tsam uas siv qhov tsis zoo no txij li lub Cuaj Hlis 2020, tab sis tsis muaj kev lees paub tias qhov teeb meem tsis tau raug siv ua ntej.
Qhov xwm txheej thib ob tshwm sim thaum Lub Kaum Hli 26. Thaum lub sij hawm kev ua hauj lwm nrog cov ntaub ntawv ntawm replicate.npmjs.com cov kev pab cuam, muaj cov ntaub ntawv tsis pub lwm tus paub nyob rau hauv cov ntaub ntawv nkag mus rau cov kev thov sab nraud tau tshwm sim, nthuav tawm cov ntaub ntawv hais txog cov npe ntawm cov pob khoom sab hauv uas tau hais hauv lub log hloov. Cov ntaub ntawv hais txog cov npe no tuaj yeem siv los ua kom muaj kev cuam tshuam txog kev cuam tshuam ntawm cov haujlwm sab hauv (Lub Ob Hlis, kev tawm tsam zoo sib xws tau tso cai rau kev tua ntawm cov servers ntawm PayPal, Microsoft, Apple, Netflix, Uber thiab 30 lwm lub tuam txhab).
Tsis tas li ntawd, vim muaj coob tus neeg ntawm cov chaw khaws cia ntawm cov haujlwm loj raug nyiag thiab cov lej tsis zoo raug txhawb los ntawm kev cuam tshuam tus tsim tawm cov nyiaj, GitHub tau txiav txim siab los qhia qhov yuav tsum tau muaj ob qhov kev lees paub tseeb. Qhov kev hloov pauv yuav pib siv rau thawj peb lub hlis twg ntawm 2022 thiab yuav siv rau cov neeg saib xyuas thiab cov thawj coj ntawm cov pob khoom suav nrog hauv cov npe nrov tshaj plaws. Tsis tas li ntawd, nws tau tshaj tawm txog kev hloov kho tshiab ntawm kev tsim kho vaj tse, nyob rau hauv uas automated saib xyuas thiab tsom xam ntawm cov tshiab versions ntawm pob khoom yuav raug qhia rau kev tshawb pom ntxov ntawm kev hloov siab phem.
Cia peb nco ntsoov tias, raws li kev tshawb fawb tau ua nyob rau xyoo 2020, tsuas yog 9.27% ββntawm cov neeg saib xyuas pob siv ob qhov kev lees paub los tiv thaiv kev nkag mus, thiab hauv 13.37% ntawm cov neeg mob, thaum sau npe cov nyiaj tshiab, cov neeg tsim khoom sim rov siv dua cov passwords uas tau tshwm sim hauv paub tus password leaks. Thaum lub sij hawm soj ntsuam kev ruaj ntseg lo lus zais, 12% ntawm NPM cov nyiaj (13% ntawm cov pob khoom) tau nkag mus vim yog siv cov passwords uas xav tau thiab tsis tseem ceeb xws li "123456." Ntawm cov teeb meem yog 4 tus neeg siv nyiaj los ntawm Top 20 cov pob nrov tshaj plaws, 13 cov nyiaj nrog cov pob rub tawm ntau dua 50 lab lub sijhawm hauv ib hlis, 40 nrog ntau dua 10 lab rub tawm hauv ib hlis, thiab 282 nrog ntau dua 1 lab rub tawm ib hlis. Muab rau hauv tus account lub loading ntawm modules raws li ib tug saw ntawm dependencies, kev cuam tshuam ntawm cov nyiaj tsis ntseeg yuav cuam tshuam txog li 52% ntawm tag nrho cov modules hauv NPM.
Tau qhov twg los: opennet.ru