GitHub di binesaziya depoya pakêta xwe ya NPM de du bûyer eşkere kiriye. Di 2-ê Mijdarê de, lêkolînerên ewlehiyê yên sêyemîn (Kajetan Grzybowski û Maciej Piechota), wekî beşek ji bernameya Bug Bounty, hebûna qelsiyek di depoya NPM de ragihand ku dihêle hûn guhertoyek nû ya her pakêtê bi karanîna hesabê xwe biweşînin. ku ne destûr e ku nûvekirinên weha pêk bîne.
Zehfbûn ji ber kontrolên nerast ên destûrnameyê yên di koda mîkroxizmetên ku daxwazên NPM-ê dişoxilînin pêk hat. Karûbarê destûrnameyê li ser bingeha daneyên ku di daxwaznameyê de derbas bûne kontrolên destûra pakêtê pêk anî, lê karûbarek din a ku nûvekirin li depoyê barkirî destnîşan kir ku pakêt li gorî naveroka metadata pakêta barkirî were weşandin. Ji ber vê yekê, êrîşkarek dikare daxwaza weşandina nûvekirinek ji bo pakêta xwe ya ku tê de heye bixwaze, lê di pakêtê de agahdariya li ser pakêtek din diyar bike, ku dê di dawiyê de were nûve kirin.
Pirsgirêk 6 demjimêran piştî raporkirina qelsiyê hate rast kirin, lê qelsî di NPM-ê de ji têketinên telemetrîyê dirêjtir bû. GitHub îdia dike ku ji Îlona 2020-an vir ve şopên êrîşan tune ku vê qelsiyê bikar tînin, lê garantî tune ku pirsgirêk berê nehatibe bikar anîn.
Bûyera duyemîn di 26ê Cotmehê de qewimî. Di dema xebata teknîkî ya bi databasa karûbarê replicate.npmjs.com re, hebûna daneyên nepenî yên di databasa ku ji daxwazên derveyî re tê gihîştin de hate eşkere kirin, ku agahdariya li ser navên pakêtên hundurîn ên ku di têketina guhartinê de hatine behs kirin eşkere kir. Agahdariya li ser navên weha dikare were bikar anîn da ku êrişên girêdayîbûnê li ser projeyên navxweyî pêk bîne (di Sibatê de, êrîşek wusa destûr da ku kod li ser serverên PayPal, Microsoft, Apple, Netflix, Uber û 30 pargîdaniyên din were darve kirin).
Wekî din, ji ber zêdebûna hejmara bûyerên depoyên projeyên mezin ên ku têne revandin û kodên xirab ên ku bi navgîniya têkbirina hesabên pêşdebiran têne pêşve xistin, GitHub biryar da ku pejirandina du-faktorî ya mecbûrî destnîşan bike. Guhertin dê di çaryeka yekem a sala 2022-an de bikeve meriyetê û dê li ser parêzvan û rêvebirên pakêtên ku di navnîşa herî populer de cih digirin de derbas bibe. Wekî din, di derbarê nûjenkirina binesaziyê de tê ragihandin, ku tê de çavdêrîkirin û analîzkirina otomatîkî ya guhertoyên nû yên pakêtan dê ji bo tespîtkirina zû ya guhertinên xirab were destnîşan kirin.
Werin em ji bîr mekin ku, li gorî lêkolînek ku di sala 2020-an de hatî kirin, tenê 9.27% ji parêzvanên pakêtê ji bo parastina gihîştinê erêkirina du-faktor bikar tînin, û di 13.37% bûyeran de, dema ku hesabên nû tomar dikin, pêşdebiran hewl didin ku şîfreyên xerakirî yên ku di nav de xuya dibin ji nû ve bikar bînin. şîfreyên naskirî. Di dema vekolînek ewlehiya şîfreyê de, 12% ji hesabên NPM (% 13 ji pakêtan) ji ber karanîna şîfreyên pêşbînîkirî û piçûk ên wekî "123456" hatin gihîştin. Di nav yên pirsgirêkdar de 4 hesabên bikarhêner ji Top 20 pakêtên herî populer, 13 hesabên bi pakêtên ku mehê zêdetirî 50 mîlyon caran hatine daxistin, 40 bi zêdetirî 10 mîlyon dakêşanên mehê, û 282 jî bi zêdetirî 1 mîlyon dakêşanên mehê hene. Li gorî barkirina modulan li ser zincîreyek girêdayîbûnê, lihevhatina hesabên nebawer dikare heya 52% ji hemî modulên di NPM-ê de bandor bike.
Source: opennet.ru