Naar aanleiding van een nieuwe golf van phishingaanvallen op beheerders, incidenten waarbij populaire pakketten werden gecompromitteerd en de opkomst van wormen die afhankelijkheden aantasten, is de NPM-repository bijgewerkt met extra beveiligingsmaatregelen:
- Twee-factorauthenticatie is verplicht bij het lokaal publiceren van pakketten.
- Het gebruik van eenmalige wachtwoorden (TOTP) voor tweefactorauthenticatie wordt afgeschaft. Gebruikers worden gemigreerd naar het FIDO U2F-protocol.
- Stap over op granulaire tokens, die een beperkte levensduur van 7 dagen hebben. Klassieke tokens worden afgeschaft en toegang via deze tokens wordt standaard uitgeschakeld.
- Het gebruik van een "Trusted Publishers"-mechanisme op basis van de OpenID Connect (OIDC)-standaard en tijdsgebonden authenticatietokens die worden uitgewisseld tussen externe services en de pakketcatalogus om een pakketpublicatiebewerking te bevestigen, in plaats van het gebruik van traditionele wachtwoorden of persistente API-toegangstokens.
Bron: opennet.ru
