Ири долбоорлордун репозиторийлерин басып алуу жана зыяндуу кодду иштеп чыгуучулардын эсептеринин компромисси аркылуу илгерилетүү учурлары көбөйүп жаткандыктан, GitHub кеңири жайылган кеңейтилген эсеп текшерүүсүн киргизүүдө. Өзүнчө, милдеттүү эки факторлуу аутентификация келерки жылдын башында 500 эң популярдуу КЭУБ пакеттеринин тейлөөчүлөрү жана администраторлору үчүн киргизилет.
7-жылдын 2021-декабрынан 4-жылдын 2022-январына чейин КЭУБ пакеттерин жарыялоого укугу бар, бирок эки факторлуу аутентификацияны колдонбогон бардык тейлөөчүлөр эсепти кеңейтилген текшерүүнү колдонууга өтөт. Өркүндөтүлгөн текшерүү npmjs.com веб-сайтына кирүүгө же npm утилитасында аутентификацияланган операцияны аткарууга аракет кылып жатканда, электрондук почта аркылуу жөнөтүлгөн бир жолку кодду киргизүүнү талап кылат.
Өркүндөтүлгөн текшерүү бир жолку сырсөздөрдү (TOTP) колдонуу менен ырастоону талап кылган, мурда жеткиликтүү болгон кошумча эки факторлуу аутентификацияны алмаштырбайт, бирок толуктайт. Эки факторлуу аутентификация иштетилгенде, кеңейтилген электрондук почта текшерүүсү колдонулбайт. 1-жылдын 2022-февралынан баштап, эң көп көз карандылыктары бар 100 эң популярдуу КЭУБ пакеттеринин тейлөөчүлөрү үчүн милдеттүү эки факторлуу аутентификацияга өтүү процесси башталат. Биринчи жүздүктү көчүрүү аяктагандан кийин, өзгөртүү көз карандылыктын саны боюнча 500 эң популярдуу NPM пакеттерине бөлүштүрүлөт.
Учурда бир жолку сырсөздөрдү (Authy, Google Authenticator, FreeOTP ж.б.) генерациялоо үчүн тиркемелерге негизделген эки факторлуу аутентификация схемасынан тышкары, 2022-жылдын апрелинде алар аппараттык ачкычтарды жана биометрикалык сканерлерди колдонуу мүмкүнчүлүгүн кошууну пландаштырууда. WebAuthn протоколун колдоо, ошондой эле ар кандай кошумча аутентификация факторлорун каттоо жана башкаруу мүмкүнчүлүгү бар.
Эске сала кетсек, 2020-жылы жүргүзүлгөн изилдөөгө ылайык, пакеттин тейлөөчүлөрүнүн 9.27% гана кирүү мүмкүнчүлүгүн коргоо үчүн эки факторлуу аутентификацияны колдонушат, ал эми 13.37% учурда жаңы аккаунттарды каттоодо иштеп чыгуучулар компьютерде пайда болгон бузулган сырсөздөрдү кайра колдонууга аракет кылышкан. белгилүү сырсөз агып. Сырсөздүн коопсуздугун текшерүү учурунда “12” сыяктуу алдын ала айтылган жана арзыбаган сырсөздөрдү колдонуудан улам NPM эсептеринин 13%ы (пакеттердин 123456%) кирди. Көйгөйлүүлөрдүн арасында Топ4 эң популярдуу топтомдордон 20 колдонуучу аккаунту, айына 13 миллиондон ашык жолу жүктөлгөн топтомдору бар 50 аккаунт, айына 40 миллиондон ашык жүктөмөлөр менен 10 жана айына 282 миллиондон ашык жүктөмөлөр менен 1 аккаунт бар. Модулдардын көз карандылык тизмеги боюнча жүктөлүшүн эске алуу менен, ишенимсиз эсептердин компромисси КЭУБдагы бардык модулдардын 52% га чейин таасирин тийгизиши мүмкүн.
Source: opennet.ru