Հաշվի առնելով խոշոր նախագծերի պահոցների առևանգման և վնասակար կոդի առաջխաղացման դեպքերի աճը՝ ծրագրավորողների հաշիվների խախտման միջոցով, GitHub-ը ներդնում է համատարած ընդլայնված հաշիվների ստուգում: Առանձին-առանձին, հաջորդ տարվա սկզբին կներդրվի պարտադիր երկգործոն նույնականացում 500 ամենահայտնի NPM փաթեթների սպասարկողների և ադմինիստրատորների համար:
7 թվականի դեկտեմբերի 2021-ից մինչև 4 թվականի հունվարի 2022-ը բոլոր սպասարկողները, ովքեր իրավունք ունեն հրապարակել NPM փաթեթներ, բայց չեն օգտագործում երկգործոն նույնականացում, կանցնեն հաշվի ընդլայնված ստուգման օգտագործմանը: Ընդլայնված ստուգումը պահանջում է մուտքագրել մեկանգամյա կոդ, որն ուղարկվել է էլ.
Ընդլայնված ստուգումը չի փոխարինում, այլ միայն լրացնում է նախկինում առկա կամընտիր երկգործոն նույնականացումը, որը պահանջում է հաստատում մեկանգամյա գաղտնաբառերի (TOTP) միջոցով: Երբ երկգործոն նույնականացումը միացված է, էլփոստի ընդլայնված հաստատումը չի կիրառվում: 1 թվականի փետրվարի 2022-ից կսկսվի պարտադիր երկգործոն նույնականացման անցնելու գործընթացը ամենամեծ թվով կախվածություն ունեցող NPM 100 ամենահայտնի փաթեթների սպասարկողների համար: Առաջին հարյուրյակի միգրացիան ավարտելուց հետո փոփոխությունը կբաշխվի 500 ամենահայտնի NPM փաթեթներին՝ ըստ կախվածությունների քանակի:
Ի լրումն ներկայումս հասանելի երկգործոն նույնականացման սխեմայի, որը հիմնված է մեկանգամյա գաղտնաբառերի ստեղծման հավելվածների վրա (Authy, Google Authenticator, FreeOTP և այլն), 2022 թվականի ապրիլին նրանք նախատեսում են ավելացնել ապարատային բանալիների և կենսաչափական սկաներների օգտագործման հնարավորությունը, որը աջակցում է WebAuthn արձանագրությանը, ինչպես նաև կարողություն գրանցել և կառավարել նույնականացման տարբեր լրացուցիչ գործոններ:
Հիշենք, որ 2020 թվականին կատարված ուսումնասիրության համաձայն, փաթեթի սպասարկողների միայն 9.27%-ն է օգտագործում երկգործոն նույնականացում՝ մուտքը պաշտպանելու համար, իսկ 13.37% դեպքերում, երբ նոր հաշիվներ գրանցելիս, ծրագրավորողները փորձել են նորից օգտագործել վտանգված գաղտնաբառերը, որոնք հայտնվել են գաղտնաբառի հայտնի արտահոսք: Գաղտնաբառերի անվտանգության ստուգման ժամանակ NPM հաշիվների 12%-ը (փաթեթների 13%-ը) մուտք է գործել կանխատեսելի և չնչին գաղտնաբառերի օգտագործման պատճառով, ինչպիսին է «123456»: Խնդրահարույցների թվում էին 4 օգտվողի հաշիվներ Թոփ 20 ամենահայտնի փաթեթներից, 13 հաշիվներ փաթեթներով, որոնք ներբեռնվել են ամսական ավելի քան 50 միլիոն անգամ, 40-ը՝ ամսական ավելի քան 10 միլիոն ներբեռնումներով և 282-ը՝ ամսական 1 միլիոնից ավելի ներբեռնումներով: Հաշվի առնելով կախվածությունների շղթայի երկայնքով մոդուլների բեռնումը, անվստահելի հաշիվների խախտումը կարող է ազդել NPM-ի բոլոր մոդուլների մինչև 52%-ի վրա:
Source: opennet.ru