GitHub اعلان ڪيو ته NPM مخزن 100 NPM پيڪيجز لاءِ ٻه عنصر جي تصديق کي چالو ڪري رهيا آهن جيڪي پيڪيجز جي وڏي تعداد ۾ انحصار جي طور تي شامل آهن. انهن پيڪيجز جا سنڀاليندڙ هاڻي صرف ٻن عنصر جي تصديق کي فعال ڪرڻ کان پوءِ ئي تصديق ٿيل مخزن جي عملن کي انجام ڏيڻ جي قابل هوندا، جنهن لاءِ لاگ ان تصديق جي ضرورت هوندي آهي ون ٽائم پاسورڊس (TOTP) استعمال ڪندي ٺاهيل ايپليڪيشنن جهڙوڪ Authy، Google Authenticator ۽ FreeOTP. ويجهي مستقبل ۾، TOTP کان علاوه، اهي هارڊويئر ڪيز ۽ بايوميٽرڪ اسڪينر استعمال ڪرڻ جي صلاحيت شامل ڪرڻ جو ارادو رکن ٿا جيڪي WebAuth پروٽوڪول کي سپورٽ ڪن ٿا.
1 مارچ تي، سڀني NPM اڪائونٽس کي منتقل ڪرڻ جي منصوبابندي ڪئي وئي آهي جن ۾ وڌايل اڪائونٽ جي تصديق کي استعمال ڪرڻ لاء ٻه عنصر جي تصديق نه ڪئي وئي آهي، جنهن کي npmjs.com ۾ لاگ ان ٿيڻ يا هڪ تصديق ٿيل انجام ڏيڻ جي ڪوشش ڪرڻ وقت اي ميل ذريعي موڪليو ويو هڪ ڀيرو ڪوڊ داخل ڪرڻ جي ضرورت آهي. npm افاديت ۾ آپريشن. جڏهن ٻه عنصر جي تصديق کي چالو ڪيو ويندو آهي، وڌايل اي ميل جي تصديق لاڳو نه ٿيندي آهي. 16 ۽ 13 فيبروري تي، سڀني اڪائونٽن جي توسيع تصديق جي آزمائشي عارضي لانچ هڪ ڏينهن لاءِ ڪئي ويندي.
ياد رهي ته 2020 ۾ ڪيل هڪ مطالعي مطابق، صرف 9.27٪ پيڪيج سنڀاليندڙن رسائي کي بچائڻ لاءِ ٻه عنصر جي تصديق استعمال ڪئي، ۽ 13.37٪ ڪيسن ۾، جڏهن نوان اڪائونٽس رجسٽرڊ ڪيا ويا، ڊولپرز سمجھوتي ڪيل پاسورڊ ٻيهر استعمال ڪرڻ جي ڪوشش ڪئي جيڪي معلوم ۾ ظاهر ٿيا. پاسورڊ ليڪ. پاسورڊ سيڪيورٽي جائزي جي دوران، 12٪ NPM اڪائونٽس (پيڪيجز جو 13٪) اڳڪٿي لائق ۽ معمولي پاسورڊ جي استعمال جي ڪري پهچندا هئا جهڙوڪ "123456." مشڪلاتن ۾ شامل هئا 4 صارف اڪائونٽس مٿين 20 تمام مشهور پيڪيجز مان، 13 اڪائونٽس سان گڏ پيڪيجز هر مهيني 50 ملين کان وڌيڪ ڀيرا ڊائون لوڊ ڪيا ويا، 40 هر مهيني 10 ملين کان وڌيڪ ڊائون لوڊ سان، ۽ 282 هر مهيني 1 ملين کان وڌيڪ ڊائون لوڊ سان. انحصار جي زنجير سان ماڊلز جي لوڊشيڊنگ کي مدنظر رکندي، ناقابل اعتماد اڪائونٽس جو سمجھوتو NPM ۾ سڀني ماڊلز جي 52٪ تائين متاثر ڪري سگھي ٿو.
جو ذريعو: opennet.ru