GitHub ಇತ್ತೀಚೆಗೆ NPM ಪರಿಸರ ವ್ಯವಸ್ಥೆಗೆ ಕೆಲವು ಬದಲಾವಣೆಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದೆ ಉದ್ಭವಿಸಿರುವ ಭದ್ರತಾ ಸಮಸ್ಯೆಗಳಿಗೆ ಸಂಬಂಧಿಸಿದಂತೆ ಮತ್ತು ತೀರಾ ಇತ್ತೀಚಿನದೆಂದರೆ, ಕೆಲವು ದಾಳಿಕೋರರು ಕೋವಾ NPM ಪ್ಯಾಕೇಜ್ನ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳುವಲ್ಲಿ ಯಶಸ್ವಿಯಾಗಿದ್ದಾರೆ ಮತ್ತು 2.0.3, 2.0.4, 2.1.1, 2.1.3 ಮತ್ತು 3.1.3 ನವೀಕರಣಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದರು. XNUMX, ಇದು ದುರುದ್ದೇಶಪೂರಿತ ಬದಲಾವಣೆಗಳನ್ನು ಒಳಗೊಂಡಿತ್ತು.
ಇದಕ್ಕೆ ಸಂಬಂಧಿಸಿದಂತೆ ಮತ್ತು ರೆಪೊಸಿಟರಿಗಳ ರೋಗಗ್ರಸ್ತವಾಗುವಿಕೆಗಳ ಹೆಚ್ಚುತ್ತಿರುವ ಸಂಭವದೊಂದಿಗೆ ದೊಡ್ಡ ಯೋಜನೆಗಳ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪ್ರಚಾರ ಮಾಡುವುದು ಡೆವಲಪರ್ ಖಾತೆಗಳ ರಾಜಿ ಮೂಲಕ, GitHub ವಿಸ್ತೃತ ಖಾತೆ ಪರಿಶೀಲನೆಯನ್ನು ಪರಿಚಯಿಸುತ್ತಿದೆ.
ಪ್ರತ್ಯೇಕವಾಗಿ, 500 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜುಗಳ ನಿರ್ವಾಹಕರು ಮತ್ತು ನಿರ್ವಾಹಕರಿಗೆ ಮುಂದಿನ ವರ್ಷದ ಆರಂಭದಲ್ಲಿ ಕಡ್ಡಾಯ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಪರಿಚಯಿಸಲಾಗುವುದು.
ಡಿಸೆಂಬರ್ 7, 2021 ರಿಂದ ಜನವರಿ 4, 2022 ರವರೆಗೆ, NPM ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡುವ ಹಕ್ಕನ್ನು ಹೊಂದಿರುವ ಎಲ್ಲಾ ನಿರ್ವಾಹಕರು, ಆದರೆ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಬಳಸದವರನ್ನು ವಿಸ್ತೃತ ಖಾತೆ ಪರಿಶೀಲನೆಯನ್ನು ಬಳಸಲು ವರ್ಗಾಯಿಸಲಾಗುತ್ತದೆ. ವಿಸ್ತೃತ ಪರಿಶೀಲನೆಯು npmjs.com ಸೈಟ್ಗೆ ಪ್ರವೇಶಿಸಲು ಅಥವಾ npm ಉಪಯುಕ್ತತೆಯಲ್ಲಿ ದೃಢೀಕೃತ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ ಇಮೇಲ್ ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಅನನ್ಯ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುವ ಅಗತ್ಯವನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ವಿಸ್ತೃತ ಪರಿಶೀಲನೆಯು ಬದಲಿಸುವುದಿಲ್ಲ ಆದರೆ ಐಚ್ಛಿಕ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಮಾತ್ರ ಪೂರೈಸುತ್ತದೆ ಹಿಂದೆ ಲಭ್ಯವಿದ್ದು, ಇದು ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ಗಳ ಪರಿಶೀಲನೆಯ ಅಗತ್ಯವಿರುತ್ತದೆ (TOTP). ವಿಸ್ತೃತ ಇಮೇಲ್ ಪರಿಶೀಲನೆ ಅನ್ವಯಿಸುವುದಿಲ್ಲ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದಾಗ. ಫೆಬ್ರವರಿ 1, 2022 ರಿಂದ, ಹೆಚ್ಚು ಅವಲಂಬನೆಗಳನ್ನು ಹೊಂದಿರುವ 100 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳ ಕಡ್ಡಾಯ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣಕ್ಕೆ ಚಲಿಸುವ ಪ್ರಕ್ರಿಯೆಯು ಪ್ರಾರಂಭವಾಗುತ್ತದೆ.
ಇಂದು ನಾವು npm ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ ಸುಧಾರಿತ ಲಾಗಿನ್ ಪರಿಶೀಲನೆಯನ್ನು ಪರಿಚಯಿಸುತ್ತಿದ್ದೇವೆ ಮತ್ತು ಡಿಸೆಂಬರ್ 7 ರಿಂದ ಪ್ರಾರಂಭಿಸಿ ಮತ್ತು ಜನವರಿ 4 ರಂದು ಮುಕ್ತಾಯಗೊಳ್ಳುವ ನಿರ್ವಹಣಾಕಾರರಿಗೆ ನಾವು ದಿಗ್ಭ್ರಮೆಗೊಂಡ ರೋಲ್ಔಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ. ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪ್ರಕಟಿಸಲು ಪ್ರವೇಶವನ್ನು ಹೊಂದಿರುವ ಮತ್ತು ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣವನ್ನು (2FA) ಸಕ್ರಿಯಗೊಳಿಸದಿರುವ Npm ನೋಂದಾವಣೆ ನಿರ್ವಾಹಕರು npmjs.com ವೆಬ್ಸೈಟ್ ಅಥವಾ Npm CLI ಮೂಲಕ ಪ್ರಮಾಣೀಕರಿಸಿದಾಗ ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ (OTP) ನೊಂದಿಗೆ ಇಮೇಲ್ ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ.
ದೃಢೀಕರಿಸುವ ಮೊದಲು ಬಳಕೆದಾರರ ಪಾಸ್ವರ್ಡ್ಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ ಈ ಇಮೇಲ್ ಮಾಡಿದ OTP ಅನ್ನು ಒದಗಿಸಬೇಕಾಗುತ್ತದೆ. ದೃಢೀಕರಣದ ಈ ಹೆಚ್ಚುವರಿ ಪದರವು ಬಳಕೆದಾರರ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಮತ್ತು ಮರುಬಳಕೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಬಳಸುವ ರುಜುವಾತು ತುಂಬುವಿಕೆಯಂತಹ ಸಾಮಾನ್ಯ ಖಾತೆ ಹೈಜಾಕಿಂಗ್ ದಾಳಿಗಳನ್ನು ತಡೆಯಲು ಸಹಾಯ ಮಾಡುತ್ತದೆ. ವರ್ಧಿತ ಲಾಗಿನ್ ಪರಿಶೀಲನೆಯು ಎಲ್ಲಾ ಪ್ರಕಾಶಕರಿಗೆ ಹೆಚ್ಚುವರಿ ಮೂಲಭೂತ ರಕ್ಷಣೆಯಾಗಿದೆ ಎಂಬುದು ಗಮನಿಸಬೇಕಾದ ಸಂಗತಿ. ಇದು 2FA, NIST 800-63B ಗೆ ಬದಲಿಯಾಗಿಲ್ಲ. 2FA ದೃಢೀಕರಣವನ್ನು ಆಯ್ಕೆ ಮಾಡಲು ನಾವು ನಿರ್ವಾಹಕರನ್ನು ಪ್ರೋತ್ಸಾಹಿಸುತ್ತೇವೆ. ಇದನ್ನು ಮಾಡುವುದರಿಂದ, ನೀವು ವರ್ಧಿತ ಲಾಗಿನ್ ಪರಿಶೀಲನೆಯನ್ನು ನಿರ್ವಹಿಸುವ ಅಗತ್ಯವಿಲ್ಲ.
ಮೊದಲ ನೂರರ ವಲಸೆಯನ್ನು ಪೂರ್ಣಗೊಳಿಸಿದ ನಂತರ, ಬದಲಾವಣೆಯನ್ನು 500 ಅತ್ಯಂತ ಜನಪ್ರಿಯ NPM ಪ್ಯಾಕೇಜ್ಗಳಿಗೆ ಪ್ರಚಾರ ಮಾಡಲಾಗುತ್ತದೆ ಅವಲಂಬನೆಗಳ ಸಂಖ್ಯೆಯ ವಿಷಯದಲ್ಲಿ.
ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು (Authy, Google Authenticator, FreeOTP, ಇತ್ಯಾದಿ) ರಚಿಸಲು ಪ್ರಸ್ತುತ ಲಭ್ಯವಿರುವ ಅಪ್ಲಿಕೇಶನ್-ಆಧಾರಿತ ಎರಡು-ಅಂಶ ದೃಢೀಕರಣ ಯೋಜನೆಗಳ ಜೊತೆಗೆ. ಏಪ್ರಿಲ್ 2022 ರಲ್ಲಿ, ಅವರು ಹಾರ್ಡ್ವೇರ್ ಕೀಗಳು ಮತ್ತು ಬಯೋಮೆಟ್ರಿಕ್ ಸ್ಕ್ಯಾನರ್ಗಳನ್ನು ಬಳಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಸೇರಿಸಲು ಯೋಜಿಸಿದ್ದಾರೆ ಇದಕ್ಕಾಗಿ WebAuthn ಪ್ರೋಟೋಕಾಲ್ಗೆ ಬೆಂಬಲವಿದೆ, ಜೊತೆಗೆ ವಿವಿಧ ಹೆಚ್ಚುವರಿ ದೃಢೀಕರಣ ಅಂಶಗಳನ್ನು ನೋಂದಾಯಿಸುವ ಮತ್ತು ನಿರ್ವಹಿಸುವ ಸಾಮರ್ಥ್ಯವಿದೆ.
2020 ರಲ್ಲಿ ನಡೆಸಿದ ಅಧ್ಯಯನದ ಪ್ರಕಾರ, ಕೇವಲ 9.27% ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ಗಳು ಪ್ರವೇಶವನ್ನು ರಕ್ಷಿಸಲು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತಾರೆ ಮತ್ತು 13.37% ಪ್ರಕರಣಗಳಲ್ಲಿ, ಹೊಸ ಖಾತೆಗಳನ್ನು ನೋಂದಾಯಿಸುವಾಗ, ಡೆವಲಪರ್ಗಳು ತಿಳಿದಿರುವ ಪಾಸ್ವರ್ಡ್ಗಳಲ್ಲಿ ಕಂಡುಬರುವ ರಾಜಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಮರುಬಳಕೆ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿದರು. .
ಪಾಸ್ವರ್ಡ್ ಸಾಮರ್ಥ್ಯದ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ಬಳಸಿದ, NPM ನಲ್ಲಿ 12% ಖಾತೆಗಳನ್ನು ಪ್ರವೇಶಿಸಲಾಗಿದೆ (13% ಪ್ಯಾಕೇಜುಗಳು) "123456" ನಂತಹ ಊಹಿಸಬಹುದಾದ ಮತ್ತು ಕ್ಷುಲ್ಲಕ ಪಾಸ್ವರ್ಡ್ಗಳ ಬಳಕೆಯಿಂದಾಗಿ. ಸಮಸ್ಯೆಗಳ ಪೈಕಿ 4 ಅತ್ಯಂತ ಜನಪ್ರಿಯ ಪ್ಯಾಕೇಜ್ಗಳ 20 ಬಳಕೆದಾರರ ಖಾತೆಗಳು, ತಿಂಗಳಿಗೆ 13 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಬಾರಿ ಡೌನ್ಲೋಡ್ ಮಾಡಿದ 50 ಖಾತೆಗಳು, 40 - ತಿಂಗಳಿಗೆ 10 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳು ಮತ್ತು 282 ತಿಂಗಳಿಗೆ 1 ಮಿಲಿಯನ್ಗಿಂತಲೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳು. ಅವಲಂಬನೆಗಳ ಸರಣಿಯ ಉದ್ದಕ್ಕೂ ಮಾಡ್ಯೂಲ್ಗಳ ಲೋಡ್ ಅನ್ನು ಪರಿಗಣಿಸಿ, ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಖಾತೆಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವುದು ಒಟ್ಟು NPM ನಲ್ಲಿರುವ ಎಲ್ಲಾ ಮಾಡ್ಯೂಲ್ಗಳ 52% ವರೆಗೆ ಪರಿಣಾಮ ಬೀರಬಹುದು.
ಅಂತಿಮವಾಗಿ ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ತಿಳಿದುಕೊಳ್ಳಲು ನೀವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದರೆ, ನೀವು ಮೂಲ ಟಿಪ್ಪಣಿಯಲ್ಲಿ ವಿವರಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು ಕೆಳಗಿನ ಲಿಂಕ್ನಲ್ಲಿ.