NPM репозиторийі 500 ең танымал NPM пакеттерін жүргізетін тіркелгілер үшін міндетті екі факторлы аутентификацияны қамтиды. Танымалдық критерийі ретінде тәуелді пакеттер саны пайдаланылды. Тізімделген пакеттердің жүргізушілері екі факторлы аутентификацияны қосқаннан кейін ғана репозиторийде өзгертуге қатысты операцияларды орындай алады, бұл Authy, Google Authenticator және FreeOTP сияқты қолданбалар арқылы жасалған бір реттік құпия сөздерді (TOTP) пайдаланып кіруді растауды талап етеді немесе WebAuth протоколын қолдайтын аппараттық кілттер мен биометриялық сканерлер.
Бұл ҰПМ-нің есептік жазбаның бұзылуынан қорғауды күшейтудің үшінші кезеңі. Бірінші кезең npmjs.com сайтына кіру немесе npm сайтында аутентификацияланған операцияны орындау әрекеті кезінде электрондық пошта арқылы жіберілген бір реттік кодты енгізуді талап ететін кеңейтілген тіркелгі растамасын пайдалану үшін екі факторлы аутентификация қосылмаған барлық NPM тіркелгілерін түрлендіруді қамтыды. утилита. Екінші кезеңде ең танымал 100 пакет үшін міндетті екі факторлы аутентификация қосылды.
Еске салайық, 2020 жылы жүргізілген зерттеуге сәйкес, пакетті ұстаушылардың тек 9.27% қол жеткізуді қорғау үшін екі факторлы аутентификацияны пайдаланды, ал 13.37% жағдайда жаңа тіркелгілерді тіркеген кезде әзірлеушілер белгілі болған құпия сөздерді қайта пайдалануға тырысты. құпия сөз ағып кетеді. Құпия сөз қауіпсіздігін тексеру кезінде NPM тіркелгілерінің 12%-ына (бумалардың 13%-ы) “123456” сияқты болжамды және тривиальды құпия сөздерді пайдалану есебінен қол жеткізілді. Проблемалылардың қатарында ең танымал топ-4 топтаманың 20 пайдаланушы тіркелгісі, айына 13 миллионнан астам жүктеп алынған пакеттері бар 50 тіркелгі, айына 40 миллионнан астам жүктеп алынған 10 және айына 282 миллионнан астам жүктеп алынған 1 тіркелгі болды. Тәуелділіктер тізбегі бойынша модульдердің жүктелуін ескере отырып, сенімсіз тіркелгілердің бұзылуы NPM-дегі барлық модульдердің 52%-ға дейін әсер етуі мүмкін.
Ақпарат көзі: opennet.ru