Томоохон төслүүдийн агуулахыг хулгайлж, хөгжүүлэгчийн дансыг эвдэх замаар хортой кодыг сурталчлах тохиолдол нэмэгдэж байгаа тул GitHub өргөн хүрээтэй өргөтгөсөн данс баталгаажуулалтыг нэвтрүүлж байна. Ирэх оны эхээр хамгийн алдартай 500 NPM багцын үйлчилгээ үзүүлэгч болон администраторуудад хоёр хүчин зүйлийн баталгаажуулалтыг заавал нэвтрүүлэх болно.
7 оны 2021-р сарын 4-ноос 2022 оны XNUMX-р сарын XNUMX-ний хооронд NPM багцыг нийтлэх эрхтэй боловч хоёр хүчин зүйлийн баталгаажуулалтыг ашигладаггүй бүх үйлчилгээ үзүүлэгчдийг өргөтгөсөн данс баталгаажуулалтыг ашиглах горимд шилжүүлнэ. Нарийвчилсан баталгаажуулалт нь npmjs.com вэб сайт руу нэвтрэх эсвэл npm хэрэглүүрт баталгаажуулсан үйлдлийг гүйцэтгэх үед цахим шуудангаар илгээсэн нэг удаагийн кодыг оруулах шаардлагатай.
Сайжруулсан баталгаажуулалт нь нэг удаагийн нууц үг (TOTP) ашиглан баталгаажуулахыг шаарддаг өмнө нь байсан нэмэлт хоёр хүчин зүйлийн баталгаажуулалтыг орлохгүй, харин зөвхөн нөхөж өгдөг. Хоёр хүчин зүйлийн баталгаажуулалтыг идэвхжүүлсэн үед өргөтгөсөн имэйл баталгаажуулалтыг ашиглахгүй. 1 оны 2022-р сарын 100-ээс эхлэн хамгийн олон тооны хамааралтай 500 хамгийн алдартай NPM багцын хөтлөгчдөд заавал хоёр хүчин зүйлийн баталгаажуулалтад шилжих үйл явц эхэлнэ. Эхний зуутын шилжилтийг дуусгасны дараа өөрчлөлтийг хамгийн алдартай XNUMX NPM багцад хамаарлын тоогоор нь хуваарилна.
Нэг удаагийн нууц үг (Authy, Google Authenticator, FreeOTP гэх мэт) үүсгэх програмууд дээр суурилсан одоо байгаа хоёр хүчин зүйлийн баталгаажуулалтын схемээс гадна 2022 оны XNUMX-р сард тэд техник хангамжийн түлхүүр, биометрийн сканнер ашиглах боломжийг нэмэхээр төлөвлөж байна. WebAuthn протоколыг дэмждэг, мөн төрөл бүрийн баталгаажуулалтын хүчин зүйлсийг бүртгэх, удирдах чадвартай.
2020 онд хийсэн судалгаагаар багц засварлагчдын ердөө 9.27% нь хандалтыг хамгаалахын тулд хоёр хүчин зүйлийн баталгаажуулалтыг ашигладаг бөгөөд 13.37% тохиолдолд шинэ данс бүртгүүлэхдээ хөгжүүлэгчид нууц үгээ дахин ашиглахыг оролдсон гэдгийг санаарай. мэдэгдэж байгаа нууц үг алдагдсан. Нууц үгийн аюулгүй байдлын шалгалтын явцад “12” гэх мэт урьдчилан таамаглах боломжтой, өчүүхэн нууц үг ашигласны улмаас NPM дансны 13%-д (багцын 123456%) хандсан байна. Асуудалтай зүйлсийн дунд хамгийн алдартай 4 багцын 20 хэрэглэгчийн бүртгэл, сард 13 саяас дээш удаа татагдсан багц 50, сард 40 сая гаруй удаа татагдсан 10, сард 282 сая гаруй удаа татагдсан 1 хэрэглэгчийн бүртгэл багтсан байна. Хамааралтай гинжин хэлхээний дагуу модулиудын ачааллыг харгалзан үзэхэд итгэмжгүй бүртгэлүүдийн эвдрэл нь NPM-ийн бүх модулийн 52% хүртэл нөлөөлж болзошгүй юм.
Эх сурвалж: opennet.ru