Խոշոր նախագծերի պահոցների գրավման և վնասված մշակողների հաշիվների միջոցով վնասակար կոդի տարածման դեպքերի աճին ի պատասխան, GitHub-ը ներդնում է հաշիվների բարելավված ստուգում բոլոր մակարդակներում: Հաջորդ տարվա սկզբին պարտադիր երկփուլային նույնականացումը կներդրվի առանձին 500 ամենատարածված NPM փաթեթների սպասարկողների և ադմինիստրատորների համար:
7 թվականի դեկտեմբերի 2021-ից մինչև 4 թվականի հունվարի 2022-ը բոլոր սպասարկողները, ովքեր իրավունք ունեն հրապարակել NPM փաթեթներ, բայց չեն օգտագործում երկփուլանի նույնականացում, կանցնեն հաշվի ընդլայնված ստուգման։ Ընդլայնված ստուգման համար անհրաժեշտ է մուտքագրել միանվագ կոդ, որը կուղարկվի ձեր էլ. փոստին, երբ փորձում եք մուտք գործել npmjs.com կայք կամ կատարել նույնականացված գործողություն npm օգտակար ծրագրում։
Ընդլայնված ստուգումը չի փոխարինում, այլ միայն լրացնում է նախկինում հասանելի լրացուցիչ երկփուլային նույնականացումը, որը պահանջում է հաստատում միանգամյա գաղտնաբառերի միջոցով (TOTP): Երկփուլային նույնականացումը միացված լինելու դեպքում էլ. փոստով երկարաձգված ստուգումը չի կիրառվում: 1 թվականի փետրվարի 2022-ից սկսած՝ կախվածությունների ամենամեծ քանակ ունեցող 100 ամենատարածված NPM փաթեթների պահապանների համար կսկսվի պարտադիր երկփուլային նույնականացման անցնելու գործընթացը: Առաջին հարյուրի տեղափոխումն ավարտվելուց հետո փոփոխությունը կտարածվի կախվածությունների քանակով 500 ամենատարածված NPM փաթեթների վրա:
Բացի միանգամյա գաղտնաբառեր գեներացնող հավելվածների (Authy, Google Authenticator, FreeOTP և այլն) վրա հիմնված ներկայումս առկա երկփուլային նույնականացման սխեմայից, 2022 թվականի ապրիլին նախատեսվում է ավելացնել WebAuthn արձանագրությունը աջակցող ապարատային բանալիների և կենսաչափական սկաներների օգտագործման հնարավորություն, ինչպես նաև տարբեր լրացուցիչ նույնականացման գործոններ գրանցելու և կառավարելու հնարավորություն։
Հիշեցնենք, որ 2020 թվականին անցկացված ուսումնասիրության համաձայն՝ փաթեթների պահպանողների միայն 9.27%-ն է օգտագործում երկփուլանի նույնականացում մուտքը պաշտպանելու համար, իսկ 13.37%-ում նոր հաշիվներ գրանցելիս մշակողները փորձել են վերօգտագործել գաղտնաբառերի հայտնի արտահոսքից ստացված կոտրված գաղտնաբառերը: Օգտագործված գաղտնաբառերի ամրության ստուգման ժամանակ հնարավոր է եղել մուտք գործել NPM-ի հաշիվների 12%-ին (փաթեթների 13%-ին՝ «123456» նման կանխատեսելի և չնչին գաղտնաբառերի օգտագործման շնորհիվ: Խնդրահարույցների թվում էին 4 ամենատարածված փաթեթներից 20 օգտատիրոջ հաշիվներ, 13 հաշիվ՝ ամսական ավելի քան 50 միլիոն անգամ ներբեռնված փաթեթներով, 40-ը՝ ամսական ավելի քան 10 միլիոն ներբեռնումներով և 282-ը՝ ամսական ավելի քան 1 միլիոն ներբեռնումներով: Հաշվի առնելով մոդուլների բեռնումը կախվածության շղթայով՝ անվստահելի հաշիվների կոտրումը կարող էր ազդել NPM-ի բոլոր մոդուլների մինչև 52%-ի վրա:
Source: opennet.ru
