සංවර්ධක ගිණුම් සම්මුතිය හරහා විශාල ව්යාපෘතිවල ගබඩාවන් පැහැරගෙන යාම සහ අනිෂ්ට කේත ප්රවර්ධනය කිරීමේ සිද්ධීන් වැඩි වීම හේතුවෙන්, GitHub පුළුල් පුළුල් ගිණුම් සත්යාපනය හඳුන්වා දෙයි. වෙනමම, ලබන වසරේ මුලදී වඩාත් ජනප්රිය NPM පැකේජ 500 නඩත්තු කරන්නන් සහ පරිපාලකයන් සඳහා අනිවාර්ය ද්වි-සාධක සත්යාපනය හඳුන්වා දෙනු ඇත.
7 දෙසැම්බර් 2021 සිට 4 ජනවාරි 2022 දක්වා, NPM පැකේජ ප්රකාශයට පත් කිරීමට අයිතිය ඇති, නමුත් ද්වි-සාධක සත්යාපනය භාවිතා නොකරන සියලුම නඩත්තු කරන්නන් දීර්ඝ ගිණුම් සත්යාපනය භාවිතා කිරීමට මාරු කරනු ලැබේ. උසස් සත්යාපනය සඳහා npmjs.com වෙබ් අඩවියට ඇතුළු වීමට උත්සාහ කරන විට හෝ npm උපයෝගිතා තුළ සත්යාපනය කළ මෙහෙයුමක් සිදු කරන විට විද්යුත් තැපෑලෙන් එවන ලද එක් වරක් කේතයක් ඇතුළත් කිරීම අවශ්ය වේ.
වැඩි දියුණු කරන ලද සත්යාපනය ප්රතිස්ථාපනය නොකරයි, නමුත් සම්පූර්ණ කිරීම පමණක්, කලින් ලබා ගත හැකි විකල්ප ද්වි-සාධක සත්යාපනය, එක් වර මුරපද (TOTP) භාවිතයෙන් තහවුරු කිරීම අවශ්ය වේ. ද්වි-සාධක සත්යාපනය සක්රීය කර ඇති විට, දීර්ඝ කරන ලද විද්යුත් තැපැල් සත්යාපනය නොයෙදේ. 1 පෙබරවාරි 2022 වෙනිදා සිට, වැඩිම පරායත්තතා සංඛ්යාවක් සහිත වඩාත් ජනප්රිය NPM පැකේජ 100 නඩත්තු කරන්නන් සඳහා අනිවාර්ය ද්වි-සාධක සත්යාපනය වෙත මාරුවීමේ ක්රියාවලිය ආරම්භ වනු ඇත. පළමු සියයේ සංක්රමණය සම්පූර්ණ කිරීමෙන් පසු, වෙනස් කිරීම යැපුම් ගණන අනුව වඩාත් ජනප්රිය NPM පැකේජ 500 වෙත බෙදා හරිනු ලැබේ.
එක්-වරක් මුරපද (Authy, Google Authenticator, FreeOTP, ආදිය) ජනනය කිරීමේ යෙදුම් මත පදනම්ව දැනට පවතින ද්වි-සාධක සත්යාපන ක්රමයට අමතරව, 2022 අප්රේල් මාසයේදී ඔවුන් දෘඩාංග යතුරු සහ ජෛවමිතික ස්කෑනර් භාවිතා කිරීමේ හැකියාව එක් කිරීමට සැලසුම් කරයි. WebAuthn ප්රොටෝකෝලය සඳහා සහය ඇති අතර, විවිධ අමතර සත්යාපන සාධක ලියාපදිංචි කිරීමේ සහ කළමනාකරණය කිරීමේ හැකියාවද ඇත.
2020 දී කරන ලද අධ්යයනයකට අනුව, පැකේජ නඩත්තු කරන්නන්ගෙන් 9.27% ක් පමණක් ප්රවේශය ආරක්ෂා කිරීම සඳහා ද්වි-සාධක සත්යාපනය භාවිතා කරන බව මතක තබා ගනිමු, සහ 13.37% අවස්ථා වලදී, නව ගිණුම් ලියාපදිංචි කිරීමේදී, සංවර්ධකයින් පෙනී සිටි සම්මුතිවාදී මුරපද නැවත භාවිතා කිරීමට උත්සාහ කළහ. දන්නා මුරපදය කාන්දු වීම. මුරපද ආරක්ෂණ සමාලෝචනයක් අතරතුර, “12” වැනි පුරෝකථනය කළ හැකි සහ සුළු මුරපද භාවිතය හේතුවෙන් NPM ගිණුම්වලින් 13% (පැකේජවලින් 123456%) ප්රවේශ විය. ගැටළු සහගත ඒවා අතර, ඉහළම ජනප්රිය පැකේජ 4 න් පරිශීලක ගිණුම් 20 ක්, මසකට මිලියන 13 කට වඩා වැඩි වාර ගණනක් බාගත කර ඇති පැකේජ සහිත ගිණුම් 50 ක්, මසකට මිලියන 40 කට වඩා වැඩි බාගත කිරීම් සහිත 10 ක් සහ මසකට බාගත කිරීම් මිලියනයකට වඩා වැඩි ගණනක් සහිත 282 ක් විය. පරායත්තතා දාමයක් ඔස්සේ මොඩියුල පැටවීම සැලකිල්ලට ගනිමින්, විශ්වාස නොකළ ගිණුම් සම්මුතිය NPM හි සියලුම මොඩියුලවලින් 1% දක්වා බලපෑ හැකිය.
මූලාශ්රය: opennet.ru