GitHub એ તાજેતરમાં NPM ઇકોસિસ્ટમમાં કેટલાક ફેરફારો રજૂ કર્યા છે સુરક્ષા સમસ્યાઓના સંબંધમાં જે ઉભી થઈ રહી છે અને સૌથી તાજેતરની એક એ હતી કે કેટલાક હુમલાખોરો coa NPM પેકેજ પર નિયંત્રણ મેળવવામાં સફળ થયા અને અપડેટ્સ 2.0.3, 2.0.4, 2.1.1, 2.1.3 અને 3.1.3 રિલીઝ કર્યા. XNUMX, જેમાં દૂષિત ફેરફારોનો સમાવેશ થાય છે.
આના સંબંધમાં અને રિપોઝીટરીઝના હુમલાની વધતી જતી ઘટનાઓ સાથે મોટા પ્રોજેક્ટ્સ અને દૂષિત કોડને પ્રોત્સાહન આપે છે ડેવલપર એકાઉન્ટ્સના સમાધાન દ્વારા, GitHub વિસ્તૃત એકાઉન્ટ વેરિફિકેશન રજૂ કરી રહ્યું છે.
અલગથી, 500 સૌથી લોકપ્રિય NPM પેકેજોના જાળવણીકારો અને વહીવટકર્તાઓ માટે, ફરજિયાત દ્વિ-પરિબળ પ્રમાણીકરણ આવતા વર્ષની શરૂઆતમાં રજૂ કરવામાં આવશે.
7 ડિસેમ્બર, 2021 થી 4 જાન્યુઆરી, 2022 સુધી, NPM પેકેજો પ્રકાશિત કરવાનો અધિકાર ધરાવતા તમામ જાળવણીકારો, પરંતુ જેઓ દ્વિ-પરિબળ પ્રમાણીકરણનો ઉપયોગ કરતા નથી, તેમને વિસ્તૃત એકાઉન્ટ વેરિફિકેશનનો ઉપયોગ કરવા માટે ટ્રાન્સફર કરવામાં આવશે. વિસ્તૃત ચકાસણીમાં npmjs.com સાઇટમાં પ્રવેશવાનો પ્રયાસ કરતી વખતે અથવા npm યુટિલિટીમાં પ્રમાણિત કામગીરી કરવાનો પ્રયાસ કરતી વખતે એક અનન્ય કોડ દાખલ કરવાની જરૂરિયાતનો સમાવેશ થાય છે જે ઇમેઇલ દ્વારા મોકલવામાં આવે છે.
વિસ્તૃત ચકાસણી બદલાતી નથી પરંતુ માત્ર વૈકલ્પિક દ્વિ-પરિબળ પ્રમાણીકરણને પૂરક બનાવે છે અગાઉ ઉપલબ્ધ છે, જેને વન-ટાઇમ પાસવર્ડ્સ (TOTP) ની ચકાસણીની જરૂર છે. વિસ્તૃત ઇમેઇલ ચકાસણી લાગુ પડતી નથી જ્યારે દ્વિ-પરિબળ પ્રમાણીકરણ સક્ષમ હોય. 1 ફેબ્રુઆરી, 2022 થી, સૌથી વધુ નિર્ભરતા ધરાવતા 100 સૌથી લોકપ્રિય NPM પેકેજોના ફરજિયાત દ્વિ-પરિબળ પ્રમાણીકરણ તરફ જવાની પ્રક્રિયા શરૂ થશે.
આજે અમે npm રજિસ્ટ્રીમાં સુધારેલ લૉગિન વેરિફિકેશન રજૂ કરી રહ્યાં છીએ, અને અમે 7મી ડિસેમ્બરથી શરૂ થતા અને 4મી જાન્યુઆરીના રોજ સમાપ્ત થતા જાળવણીકર્તાઓ માટે એક અસ્પષ્ટ રોલઆઉટ શરૂ કરીશું. Npm રજિસ્ટ્રી મેઇન્ટેનર્સ કે જેમની પાસે પૅકેજ પ્રકાશિત કરવાની ઍક્સેસ છે અને દ્વિ-પરિબળ પ્રમાણીકરણ (2FA) સક્ષમ નથી તેઓ જ્યારે npmjs.com વેબસાઇટ અથવા Npm CLI દ્વારા પ્રમાણિત કરશે ત્યારે તેમને વન-ટાઇમ પાસવર્ડ (OTP) સાથેનો એક ઇમેઇલ પ્રાપ્ત થશે.
આ ઈમેલ કરેલ OTP પ્રમાણિત કરતા પહેલા વપરાશકર્તાના પાસવર્ડ ઉપરાંત પ્રદાન કરવાની જરૂર પડશે. પ્રમાણીકરણનું આ વધારાનું સ્તર સામાન્ય એકાઉન્ટ હાઇજેકિંગ હુમલાઓને રોકવામાં મદદ કરે છે, જેમ કે ઓળખપત્ર ભરણ, જે વપરાશકર્તાના ચેડા અને ફરીથી ઉપયોગમાં લેવાયેલા પાસવર્ડનો ઉપયોગ કરે છે. એ નોંધવું યોગ્ય છે કે ઉન્નત લૉગિન ચકાસણીનો અર્થ બધા પ્રકાશકો માટે વધારાની મૂળભૂત સુરક્ષા છે. તે 2FA, NIST 800-63B માટે રિપ્લેસમેન્ટ નથી. અમે જાળવણીકારોને 2FA પ્રમાણીકરણ પસંદ કરવા માટે પ્રોત્સાહિત કરીએ છીએ. આમ કરવાથી, તમારે ઉન્નત લૉગિન ચકાસણી કરવાની જરૂર રહેશે નહીં.
પ્રથમ સોનું સ્થળાંતર પૂર્ણ કર્યા પછી, ફેરફારનો પ્રચાર 500 સૌથી લોકપ્રિય NPM પેકેજોમાં કરવામાં આવશે. નિર્ભરતાની સંખ્યાના સંદર્ભમાં.
વન-ટાઇમ પાસવર્ડ્સ જનરેટ કરવા માટે હાલમાં ઉપલબ્ધ એપ્લિકેશન-આધારિત દ્વિ-પરિબળ પ્રમાણીકરણ યોજનાઓ ઉપરાંત (Authy, Google પ્રમાણકર્તા, FreeOTP, વગેરે), એપ્રિલ 2022 માં, તેઓ હાર્ડવેર કી અને બાયોમેટ્રિક સ્કેનરનો ઉપયોગ કરવાની ક્ષમતા ઉમેરવાની યોજના ધરાવે છે. જેના માટે WebAuthn પ્રોટોકોલ માટે સમર્થન છે, તેમજ વિવિધ વધારાના પ્રમાણીકરણ પરિબળોની નોંધણી અને સંચાલન કરવાની ક્ષમતા છે.
યાદ કરો કે 2020 માં હાથ ધરવામાં આવેલા એક અભ્યાસ મુજબ, ફક્ત 9.27% પેકેજ મેનેજરો ઍક્સેસને સુરક્ષિત રાખવા માટે દ્વિ-પરિબળ પ્રમાણીકરણનો ઉપયોગ કરે છે, અને 13.37% કિસ્સાઓમાં, જ્યારે નવા એકાઉન્ટ્સની નોંધણી કરવામાં આવે છે, ત્યારે વિકાસકર્તાઓએ ચેડા થયેલા પાસવર્ડ્સનો ફરીથી ઉપયોગ કરવાનો પ્રયાસ કર્યો હતો જે જાણીતા પાસવર્ડ્સમાં દેખાય છે. .
પાસવર્ડ તાકાત વિશ્લેષણ દરમિયાન વપરાયેલ NPM માં 12% એકાઉન્ટ્સ એક્સેસ કરવામાં આવ્યા હતા (13% પેકેજો) "123456" જેવા અનુમાનિત અને તુચ્છ પાસવર્ડના ઉપયોગને કારણે. સમસ્યાઓમાં 4 સૌથી વધુ લોકપ્રિય પેકેજોમાંથી 20 વપરાશકર્તા એકાઉન્ટ્સ હતા, 13 એકાઉન્ટ્સ કે જેના પેકેજો દર મહિને 50 મિલિયનથી વધુ વખત ડાઉનલોડ થયા હતા, 40 - દર મહિને 10 મિલિયનથી વધુ ડાઉનલોડ્સ અને 282 એક મહિનામાં 1 મિલિયનથી વધુ ડાઉનલોડ્સ સાથે. અવલંબનની સાંકળ સાથે મોડ્યુલોના ભારને ધ્યાનમાં લેતા, અવિશ્વસનીય ખાતાઓ સાથે ચેડા કરવાથી NPM માં કુલ તમામ મોડ્યુલોના 52% સુધી અસર થઈ શકે છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે મૂળ નોંધમાં વિગતો ચકાસી શકો છો નીચેની કડીમાં