GitHub объявил о включении в репозитории NPM обязательной двухфакторной аутентификации для 100 NPM-пакетов, влючённых как зависимость в наибольшее число пакетов. Сопровождающие данных пакетов отныне смогут выполнить требующие аутентификации операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP. В ближайшее время помимо TOTP планируют добавить возможность использования аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.
На 1 марта намечен перевод всех учётных записей NPM, для которых не включена двухфакторная аутентификация, на использование расширенной верификации учётных записей, которая требует ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. При включении двухфакторной аутентификации расширенная верификация по email не применяется. 16 и 13 февраля на сутки будет осуществлён пробный временный запуск расширенной верификации для всех учётных записей.
Ann sonje ke dapre yon etid ki te fèt an 2020, sèlman 9.27% nan moun ki kenbe pake yo te itilize otantifikasyon de faktè pou pwoteje aksè, ak nan 13.37% nan ka yo, lè yo te anrejistre nouvo kont, devlopè yo te eseye reitilize modpas konpwomèt ki te parèt nan li te ye. modpas koule. Pandan yon revizyon sekirite modpas, yo te jwenn aksè nan 12% kont NPM (13% pakè) akòz itilizasyon modpas previzib ak trivial tankou "123456". Pami pwoblèm yo te genyen 4 kont itilizatè ki soti nan Top 20 pakè ki pi popilè yo, 13 kont ak pakè telechaje plis pase 50 milyon fwa pa mwa, 40 ak plis pase 10 milyon telechajman pa mwa, ak 282 ak plis pase 1 milyon telechajman pa mwa. Lè w konsidere chaj modil yo sou yon chèn depandans, konpwomi kont ki pa fè konfyans yo ka afekte jiska 52% tout modil nan NPM.
Sous: opennet.ru