GitHub সম্প্রতি NPM ইকোসিস্টেমে কিছু পরিবর্তন প্রকাশ করেছে নিরাপত্তা সংক্রান্ত সমস্যা যা দেখা দিয়েছে এবং সাম্প্রতিক একটি হল যে কিছু আক্রমণকারী coa NPM প্যাকেজের নিয়ন্ত্রণ নিতে পেরেছে এবং 2.0.3, 2.0.4, 2.1.1, 2.1.3 এবং 3.1.3 আপডেটগুলি প্রকাশ করেছে৷ XNUMX, যার মধ্যে দূষিত পরিবর্তন অন্তর্ভুক্ত।
এই সম্পর্ক এবং ভান্ডার খিঁচুনি ক্রমবর্ধমান ঘটনা সঙ্গে বড় প্রকল্পের এবং দূষিত কোড প্রচার বিকাশকারী অ্যাকাউন্টগুলির সাথে আপস করার মাধ্যমে, GitHub বর্ধিত অ্যাকাউন্ট যাচাইকরণ চালু করছে।
আলাদাভাবে, 500টি সর্বাধিক জনপ্রিয় NPM প্যাকেজের রক্ষণাবেক্ষণকারী এবং প্রশাসকদের জন্য, বাধ্যতামূলক দ্বি-ফ্যাক্টর প্রমাণীকরণ পরের বছরের শুরুতে চালু করা হবে।
7 ডিসেম্বর, 2021 থেকে 4 জানুয়ারী, 2022 পর্যন্ত, NPM প্যাকেজ প্রকাশ করার অধিকার আছে যারা সমস্ত রক্ষণাবেক্ষণকারী, কিন্তু যারা দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করেন না, তাদের বর্ধিত অ্যাকাউন্ট যাচাইকরণ ব্যবহার করার জন্য স্থানান্তর করা হবে. বর্ধিত যাচাইকরণের মধ্যে একটি অনন্য কোড লিখতে হবে যা npmjs.com সাইটে প্রবেশ করার চেষ্টা করার সময় বা npm ইউটিলিটিতে একটি প্রমাণীকৃত অপারেশন সম্পাদন করার সময় ইমেলের মাধ্যমে পাঠানো হয়।
বর্ধিত যাচাইকরণ প্রতিস্থাপন করে না তবে শুধুমাত্র ঐচ্ছিক দ্বি-ফ্যাক্টর প্রমাণীকরণের পরিপূরক আগে পাওয়া যায়, যার জন্য ওয়ান-টাইম পাসওয়ার্ড (TOTP) যাচাইকরণ প্রয়োজন। বর্ধিত ইমেল যাচাইকরণ প্রযোজ্য নয় যখন দ্বি-ফ্যাক্টর প্রমাণীকরণ সক্ষম করা হয়। ফেব্রুয়ারী 1, 2022 থেকে, সর্বাধিক নির্ভরতা সহ 100টি জনপ্রিয় NPM প্যাকেজের বাধ্যতামূলক দ্বি-ফ্যাক্টর প্রমাণীকরণে যাওয়ার প্রক্রিয়া শুরু হবে।
আজ আমরা npm রেজিস্ট্রিতে উন্নত লগইন যাচাইকরণ প্রবর্তন করছি, এবং আমরা রক্ষণাবেক্ষণকারীদের জন্য 7 ই ডিসেম্বর থেকে শুরু করে এবং 4 ঠা জানুয়ারীতে সমাপ্ত করার জন্য একটি স্তম্ভিত রোলআউট শুরু করব। Npm রেজিস্ট্রি রক্ষণাবেক্ষণকারী যাদের প্যাকেজ প্রকাশের অ্যাক্সেস রয়েছে এবং তাদের দ্বি-ফ্যাক্টর অথেনটিকেশন (2FA) সক্ষম নেই তারা যখন npmjs.com ওয়েবসাইট বা Npm CLI-এর মাধ্যমে প্রমাণীকরণ করবে তখন তারা একটি ওয়ান-টাইম পাসওয়ার্ড (OTP) সহ একটি ইমেল পাবে।
এই ইমেল করা OTP প্রমাণীকরণের আগে ব্যবহারকারীর পাসওয়ার্ড ছাড়াও প্রদান করতে হবে। প্রমাণীকরণের এই অতিরিক্ত স্তরটি সাধারণ অ্যাকাউন্ট হাইজ্যাকিং আক্রমণ প্রতিরোধ করতে সাহায্য করে, যেমন শংসাপত্র স্টাফিং, যা ব্যবহারকারীর আপস করা এবং পুনরায় ব্যবহার করা পাসওয়ার্ড ব্যবহার করে। এটি লক্ষণীয় যে বর্ধিত লগইন যাচাইকরণ সমস্ত প্রকাশকদের জন্য একটি অতিরিক্ত মৌলিক সুরক্ষা হিসাবে বোঝানো হয়েছে৷ এটি 2FA, NIST 800-63B এর প্রতিস্থাপন নয়। আমরা রক্ষণাবেক্ষণকারীদের 2FA প্রমাণীকরণ বেছে নিতে উত্সাহিত করি। এটি করার মাধ্যমে, আপনাকে একটি উন্নত লগইন যাচাইকরণ করতে হবে না।
প্রথম শতাধিক স্থানান্তর সম্পূর্ণ করার পরে, পরিবর্তনটি 500টি জনপ্রিয় NPM প্যাকেজে প্রচার করা হবে নির্ভরতা সংখ্যা পরিপ্রেক্ষিতে.
এককালীন পাসওয়ার্ড তৈরি করার জন্য বর্তমানে উপলব্ধ অ্যাপ্লিকেশন-ভিত্তিক দ্বি-ফ্যাক্টর প্রমাণীকরণ স্কিমগুলি ছাড়াও (Authy, Google প্রমাণীকরণকারী, FreeOTP, ইত্যাদি), 2022 সালের এপ্রিলে, তারা হার্ডওয়্যার কী এবং বায়োমেট্রিক স্ক্যানার ব্যবহার করার ক্ষমতা যুক্ত করার পরিকল্পনা করেছে যার জন্য WebAuthn প্রোটোকলের জন্য সমর্থন রয়েছে, সেইসাথে বিভিন্ন অতিরিক্ত প্রমাণীকরণ ফ্যাক্টর নিবন্ধন ও পরিচালনা করার ক্ষমতা রয়েছে।
স্মরণ করুন যে 2020 সালে পরিচালিত একটি সমীক্ষা অনুসারে, মাত্র 9.27% প্যাকেজ পরিচালকরা অ্যাক্সেস রক্ষা করার জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করেন এবং 13.37% ক্ষেত্রে, নতুন অ্যাকাউন্ট নিবন্ধন করার সময়, বিকাশকারীরা পরিচিত পাসওয়ার্ডগুলিতে প্রদর্শিত আপস করা পাসওয়ার্ডগুলি পুনরায় ব্যবহার করার চেষ্টা করেছিল .
পাসওয়ার্ড শক্তি বিশ্লেষণের সময় ব্যবহৃত, NPM-এ 12% অ্যাকাউন্ট অ্যাক্সেস করা হয়েছে (13% প্যাকেজ) অনুমানযোগ্য এবং তুচ্ছ পাসওয়ার্ড যেমন "123456" ব্যবহারের কারণে। সমস্যাগুলির মধ্যে ছিল 4টি সর্বাধিক জনপ্রিয় প্যাকেজের 20টি ব্যবহারকারীর অ্যাকাউন্ট, 13টি অ্যাকাউন্ট যার প্যাকেজগুলি প্রতি মাসে 50 মিলিয়নেরও বেশি বার ডাউনলোড করা হয়েছে, 40টি - প্রতি মাসে 10 মিলিয়নের বেশি ডাউনলোড এবং 282টি প্রতি মাসে 1 মিলিয়নের বেশি ডাউনলোড সহ। নির্ভরশীলতার শৃঙ্খল বরাবর মডিউলগুলির লোড বিবেচনা করে, অবিশ্বস্ত অ্যাকাউন্টগুলির সাথে আপস করা NPM-এর মোট সমস্ত মডিউলের 52% পর্যন্ত প্রভাবিত করতে পারে।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি মূল নোটে বিস্তারিত চেক করতে পারেন নীচের লিঙ্কে।