GitHub kwanan nan ya fito da wasu canje-canje ga yanayin yanayin NPM dangane da matsalolin tsaro da suka taso kuma daya daga cikin na baya-bayan nan shi ne yadda wasu maharan suka yi nasarar kwace kunshin coa NPM tare da fitar da sabbin bayanai 2.0.3, 2.0.4, 2.1.1, 2.1.3 da 3.1.3. XNUMX, wanda ya haɗa da canje-canje na mugunta.
Dangane da wannan kuma tare da karuwar abubuwan da aka kama na ma'aji na manyan ayyuka da kuma inganta muggan code Ta hanyar sasantawa na asusun masu haɓakawa, GitHub yana gabatar da tsawaita tabbacin asusun.
Na dabam, ga masu kulawa da masu gudanar da manyan mashahuran fakitin NPM 500, za a gabatar da ingantaccen tabbaci mai abubuwa biyu a farkon shekara mai zuwa.
Daga Disamba 7, 2021 zuwa Janairu 4, 2022, duk masu kiyayewa waɗanda ke da haƙƙin sakin fakitin NPM, amma waɗanda ba su yi amfani da ingantaccen abu biyu ba, za a canja su zuwa amfani da tsawaita tabbacin asusu. Tabbatar da tsawaita ya ƙunshi buƙatar shigar da keɓaɓɓiyar lambar da aka aika ta imel lokacin ƙoƙarin shigar da rukunin yanar gizon npmjs.com ko aiwatar da ingantaccen aiki a cikin npm mai amfani.
Tabbatar da tsawaita baya maye gurbin amma kawai yana ƙara ƙarin tabbaci mai abubuwa biyu na zaɓi a baya akwai, wanda ke buƙatar tabbatar da kalmomin shiga na lokaci ɗaya (TOTP). Tabbacin imel ɗin ba ya aiki lokacin da aka kunna tantance abubuwa biyu. Tun daga ranar 1 ga Fabrairu, 2022, za a fara aiwatar da ƙaura zuwa tabbataccen abu biyu na wajibi na fakitin NPM 100 mafi shahara tare da mafi yawan abin dogaro.
A yau muna gabatar da ingantacciyar tabbatar da shiga cikin rajista na npm, kuma za mu fara bayyani ga masu kulawa daga ranar 7 ga Disamba zuwa ƙarshe a ranar 4 ga Janairu. Masu kula da rajista na Npm waɗanda ke da damar buga fakitin kuma ba su da ikon tantance abubuwa biyu (2FA) za su karɓi imel tare da kalmar wucewa ta lokaci ɗaya (OTP) lokacin da suka tantance ta gidan yanar gizon npmjs.com ko Npm CLI.
Ana buƙatar samar da wannan OTP ɗin imel ban da kalmar sirrin mai amfani kafin tantancewa. Wannan ƙarin matakin tabbatarwa yana taimakawa hana hare-hare na satar asusu na gama gari, kamar sharar bayanan sirri, waɗanda ke amfani da kalmar sirri da aka lalata da kuma sake amfani da su. Yana da kyau a lura cewa Ingantaccen Tabbacin shiga yana nufin ya zama ƙarin kariya ta asali ga duk masu bugawa. Ba maye gurbin 2FA ba, NIST 800-63B. Muna ƙarfafa masu kula da su zaɓi don tabbatar da 2FA. Ta yin wannan, ba za ku buƙaci yin ingantaccen tabbacin shiga ba.
Bayan kammala ƙaura na ɗari na farko, za a yada canjin zuwa manyan fakitin NPM 500 mafi shahara. dangane da adadin abin dogaro.
Baya ga tsare-tsaren tabbatar da abubuwa biyu na tushen aikace-aikacen a halin yanzu don ƙirƙirar kalmomin shiga lokaci ɗaya (Authy, Google Authenticator, FreeOTP, da sauransu), a cikin Afrilu 2022, sun yi shirin ƙara ikon yin amfani da maɓallan kayan masarufi da na'urorin sikanin halittu wanda akwai goyon baya ga ka'idar WebAuthn, da kuma ikon yin rajista da sarrafa wasu ƙarin abubuwan tabbatarwa.
Ka tuna cewa bisa ga binciken da aka gudanar a cikin 2020, kawai 9.27% na manajojin kunshin suna amfani da ingantattun abubuwa guda biyu don kare damar shiga, kuma a cikin 13.37% na lokuta, lokacin yin rajistar sabbin asusu, masu haɓakawa sun yi ƙoƙarin sake amfani da kalmomin shiga da suka lalace waɗanda ke bayyana a cikin sanannun kalmomin shiga. .
Yayin binciken ƙarfin kalmar sirri amfani, An shiga kashi 12% na asusun NPM (13% na fakiti) saboda amfani da kalmomin sirri masu iya tsinkaya da maras muhimmanci kamar "123456". Daga cikin matsalolin akwai asusun masu amfani 4 na fakiti 20 da suka fi shahara, asusu 13 da aka zazzage fakitin su fiye da sau miliyan 50 a kowane wata, 40 - fiye da zazzagewa miliyan 10 a kowane wata da 282 tare da sama da miliyan 1 zazzagewa a wata. Idan aka yi la'akari da nauyin kayayyaki tare da jerin abubuwan dogaro, yin sulhu da asusun da ba a amince da shi ba zai iya yin tasiri har zuwa 52% na dukkan kayayyaki a cikin NPM gabaɗaya.
Finalmente Idan kuna da sha'awar sanin game da shi, za ku iya duba cikakkun bayanai a cikin bayanin asali A cikin mahaɗin mai zuwa.