Dahil sa dumaraming kaso ng mga repositoryo ng malalaking proyekto na na-hijack at na-promote ng malisyosong code sa pamamagitan ng kompromiso ng mga developer account, ipinakikilala ng GitHub ang malawakang pinalawak na pag-verify ng account. Hiwalay, ipapakilala ang mandatoryong two-factor authentication para sa mga maintainer at administrator ng 500 pinakasikat na package ng NPM sa unang bahagi ng susunod na taon.
Mula Disyembre 7, 2021 hanggang Enero 4, 2022, lahat ng maintainer na may karapatang mag-publish ng mga NPM package, ngunit hindi gumagamit ng two-factor authentication, ay ililipat sa paggamit ng pinahabang pag-verify ng account. Ang advanced na pag-verify ay nangangailangan ng pagpasok ng isang beses na code na ipinadala sa pamamagitan ng email kapag sinusubukang mag-log in sa npmjs.com website o magsagawa ng isang authenticated na operasyon sa npm utility.
Hindi pinapalitan ng pinahusay na pag-verify, ngunit pinupunan lamang, ang dating magagamit na opsyonal na two-factor authentication, na nangangailangan ng kumpirmasyon gamit ang isang beses na password (TOTP). Kapag pinagana ang two-factor authentication, hindi ilalapat ang pinahabang pag-verify ng email. Simula sa Pebrero 1, 2022, magsisimula ang proseso ng paglipat sa mandatoryong two-factor authentication para sa mga maintainer ng 100 pinakasikat na NPM package na may pinakamalaking bilang ng mga dependency. Pagkatapos makumpleto ang paglipat ng unang daan, ang pagbabago ay ipapamahagi sa 500 pinakasikat na NPM packages ayon sa bilang ng mga dependency.
Bilang karagdagan sa kasalukuyang available na two-factor authentication scheme batay sa mga application para sa pagbuo ng isang beses na mga password (Authy, Google Authenticator, FreeOTP, atbp.), sa Abril 2022 plano nilang magdagdag ng kakayahang gumamit ng mga hardware key at biometric scanner, para sa na mayroong suporta para sa WebAuthn protocol, at gayundin ang kakayahang magparehistro at pamahalaan ang iba't ibang karagdagang mga kadahilanan sa pagpapatunay.
Tandaan natin na, ayon sa isang pag-aaral na isinagawa noong 2020, 9.27% ββlang ng mga package maintainer ang gumagamit ng two-factor authentication para protektahan ang access, at sa 13.37% ng mga kaso, kapag nagrerehistro ng mga bagong account, sinubukan ng mga developer na gumamit muli ng mga nakompromisong password na lumabas sa kilalang paglabas ng password. Sa panahon ng pagsusuri sa seguridad ng password, 12% ng mga NPM account (13% ng mga package) ang na-access dahil sa paggamit ng mga predictable at trivial na password gaya ng "123456." Kabilang sa mga may problema ay 4 na user account mula sa Top 20 pinakasikat na package, 13 account na may mga package na na-download nang higit sa 50 milyong beses bawat buwan, 40 na may higit sa 10 milyong mga pag-download bawat buwan, at 282 na may higit sa 1 milyong mga pag-download bawat buwan. Isinasaalang-alang ang paglo-load ng mga module sa isang hanay ng mga dependency, ang kompromiso ng mga hindi pinagkakatiwalaang account ay maaaring makaapekto sa hanggang 52% ng lahat ng mga module sa NPM.
Pinagmulan: opennet.ru