Ірі жобалардың репозиторийлерін ұрлау және зиянды кодты әзірлеушілер тіркелгілерін бұзу арқылы ілгерілету жағдайларының көбеюіне байланысты GitHub кең таралған кеңейтілген есептік жазбаны тексеруді енгізуде. Келесі жылдың басында 500 ең танымал NPM пакеттерінің қолдаушылары мен әкімшілері үшін міндетті екі факторлы аутентификация енгізіледі.
7 жылдың 2021 желтоқсаны мен 4 жылдың 2022 қаңтары аралығында NPM пакеттерін жариялауға құқығы бар, бірақ екі факторлы аутентификацияны пайдаланбайтын барлық қызмет көрсетушілер кеңейтілген есептік жазбаны растауды қолдануға ауысады. Жетілдірілген растау npmjs.com веб-сайтына кіру немесе npm утилитасында аутентификацияланған әрекетті орындау кезінде электрондық пошта арқылы жіберілген бір реттік кодты енгізуді талап етеді.
Жетілдірілген тексеру бір реттік құпия сөздерді (TOTP) пайдалану арқылы растауды қажет ететін бұрын қол жетімді қосымша екі факторлы аутентификацияны ауыстырмайды, бірақ толықтырады. Екі факторлы аутентификация қосылғанда, кеңейтілген электрондық поштаны растау қолданылмайды. 1 жылдың 2022 ақпанынан бастап ең көп тәуелділік саны бар 100 ең танымал NPM пакеттерінің қолдаушылары үшін міндетті екі факторлы аутентификацияға көшу процесі басталады. Бірінші жүзді тасымалдауды аяқтағаннан кейін өзгерту тәуелділіктер саны бойынша 500 ең танымал NPM пакеттеріне таратылады.
Қазіргі уақытта бір реттік құпия сөздерді (Authy, Google Authenticator, FreeOTP және т. WebAuthn протоколына қолдау бар, сонымен қатар әртүрлі қосымша аутентификация факторларын тіркеу және басқару мүмкіндігі бар.
Еске салайық, 2020 жылы жүргізілген зерттеуге сәйкес, пакетті ұстаушылардың тек 9.27% қол жеткізуді қорғау үшін екі факторлы аутентификацияны пайдаланады, ал 13.37% жағдайда жаңа тіркелгілерді тіркеген кезде әзірлеушілер сайтта пайда болған бұзылған құпия сөздерді қайта пайдалануға тырысады. белгілі құпия сөздің ағып кетуі. Құпия сөз қауіпсіздігін тексеру кезінде NPM тіркелгілерінің 12%-ына (бумалардың 13%-ы) “123456” сияқты болжамды және тривиальды құпия сөздерді пайдалану есебінен қол жеткізілді. Проблемалылардың қатарында ең танымал топ-4 топтаманың 20 пайдаланушы тіркелгісі, айына 13 миллионнан астам жүктеп алынған пакеттері бар 50 тіркелгі, айына 40 миллионнан астам жүктеп алынған 10 және айына 282 миллионнан астам жүктеп алынған 1 тіркелгі болды. Тәуелділіктер тізбегі бойынша модульдердің жүктелуін ескере отырып, сенімсіз тіркелгілердің бұзылуы NPM-дегі барлық модульдердің 52%-ға дейін әсер етуі мүмкін.
Ақпарат көзі: opennet.ru