GitHub hadda waxay ku soo celisaa xaqiijinta koontada dheer ee qasabka ah ee NPM

Darkcrizt

Daqiiqado 4

GitHub ayaa dhawaan soo saartay isbeddelo ku yimid nidaamka deegaanka NPM Marka la eego dhibaatooyinka amni ee soo ifbaxayay waxaana ka mid ahaa kuwii ugu dambeeyay oo ay ku guuleysteen qaar ka mid ah kooxaha weerarka soo qaaday in ay la wareegeen gacan ku haynta xirmada coa NPM oo ay sii daayeen warar cusub oo kala ah 2.0.3, 2.0.4, 2.1.1, 2.1.3 and 3.1.3. XNUMX, oo ay ku jiraan isbeddello xaasidnimo ah.

Marka la eego tan iyo dhacdooyinka sii kordhaya ee suuxdinta kaydinta ee mashaariicda waaweyn iyo horumarinta code xaasidnimo ah Iyada oo la isu tanaasulayo xisaabaadka horumariyaha, GitHub waxa ay soo bandhigaysaa xaqiijinta koontada la dheereeyey.

Si ka duwan, kuwa ilaaliya iyo maamulayaasha 500 ee xirmooyinka NPM ee ugu caansan, xaqiijinta laba-geesoodka ah ee qasabka ah ayaa la soo bandhigi doonaa horraanta sanadka soo socda.

Laga bilaabo Disembar 7, 2021 ilaa Janaayo 4, 2022, dhammaan ilaaliyayaasha xaqa u leh inay sii daayaan xirmooyinka NPM, laakiin Kuwa aan isticmaalin xaqiijinta laba-geesoodka ah, ayaa loo wareejin doonaa si ay u isticmaalaan xaqiijinta koontada dheer. Xaqiijinta la dheereeyay waxay ku lug leedahay baahida loo qabo in la galo kood gaar ah oo lagu soo diro iimaylka marka la isku dayayo in la galo goobta npmjs.com ama la sameeyo hawlgal la xaqiijiyay ee utility npm.

Xaqiijinta la dheereeyey ma beddesho ee waxay kordhisaa oo keliya xaqiijinta laba-geesoodka ikhtiyaariga ah Markii hore la heli karo, kaas oo u baahan xaqiijinta furaha sirta ah ee hal mar ah (TOTP). Xaqiijinta iimaylka dheer ma khusayso marka la furo xaqiijinta laba-factor. Laga bilaabo Febraayo 1, 2022, habka loogu guurayo xaqiijinta laba-geesoodka ah ee qasabka ah ee 100ka xirmo ee ugu caansan NPM ee leh ku tiirsanaanta ugu badan ayaa bilaaban doonta.

Maanta waxaan ku soo bandhigaynaa xaqiijinta soo galitaanka ee la hagaajiyay ee diiwanka npm, waxaanan bilaabi doonaa soo daabicitaan isdabajoog ah oo loogu talagalay ilaaliyayaasha laga bilaabo Diisambar 7-deeda oo dhamaanaya Janaayo 4teeda. Ilaaliyeyaasha diiwangelinta Npm ee heli kara daabacaadda xirmooyinka oo aan haysanin laba-wax xaqiijin ah (2FA) waxay heli doonaan iimayl wata erayga sirta ah ee hal mar ah (OTP) marka ay ka caddeeyaan shabakada npmjs.com ama Npm CLI.

OTP-kan iimaylka ah wuxuu u baahan doonaa in lagu daro erayga sirta ah ee isticmaalaha ka hor inta aan la xaqiijin. Lakabkan dheeraadka ah ee xaqiijinta wuxuu caawiyaa kahortagga weerarrada afduubka akoonnada caadiga ah, sida shayada aqoonsiga, ee isticmaala erayga sirta ah ee la jabsaday ee dib loo isticmaalay. Waxaa xusid mudan in Xaqiijinta Soo Galitaanka La Wanaajiyey loola jeedo inay noqoto ilaalin asaasi ah oo dheeraad ah dhammaan daabacayaasha. Ma aha beddelka 2FA, NIST 800-63B. Waxaan ku dhiirigelinaynaa ilaaliyayaasha inay doortaan aqoonsiga 2FA. Markaad tan samayso, uma baahnid inaad samayso xaqiijin soo gal oo la xoojiyey.

Ka dib marka la dhammeeyo socdaalka boqolka ugu horreeya, isbeddelka ayaa lagu faafin doonaa 500 ee xirmooyinka NPM ugu caansan. marka la eego tirada ku tiirsanaanta.

Marka lagu daro nidaamyada hadda jira ee ku saleysan codsiga ee nidaamyada xaqiijinta laba-geesoodka ah ee soo saarista ereyada sirta ah ee hal mar ah (Authy, Google Authenticator, FreeOTP, iwm.), Abriil 2022, waxay qorsheynayaan inay ku daraan awoodda isticmaalka furayaasha qalabka iyo iskaannada biometric kaas oo ay jirto taageero loogu talagalay borotokoolka WebAuthn, iyo sidoo kale awoodda isdiiwaangelinta iyo maaraynta arrimo dheeraad ah oo xaqiijin ah.

Xusuusnow marka loo eego daraasad la sameeyay 2020, kaliya 9.27% ​​maamulayaasha xirmooyinka ayaa adeegsada xaqiijinta laba-geesoodka ah si ay u ilaaliyaan gelitaanka, iyo 13.37% kiisaska, markii la diiwaangeliyay xisaabaadka cusub, horumariyayaashu waxay isku dayeen inay dib u isticmaalaan furayaasha sirta ah ee ka muuqda ereyada sirta ah ee la yaqaan. .

Inta lagu jiro falanqaynta xoogga sirta ah loo isticmaalo, 12% xisaabaadka NPM waa la galay (13% xirmooyinka) iyadoo ay ugu wacan tahay isticmaalka la saadaalin karo oo furaha sirta ah sida "123456". Dhibaatooyinka waxaa ka mid ahaa 4 xisaabaadka isticmaalayaasha 20-ka xirmo ee ugu caansan, 13 xisaabaad kuwaas oo xirmooyinkooda la soo dejiyay in ka badan 50 milyan jeer bishii, 40 - in ka badan 10 milyan oo la soo dejiyo bishii iyo 282 oo leh in ka badan 1 milyan oo la soo dejiyo bishii. Iyadoo la tixgalinayo culeyska cutubyada ee silsiladda ku tiirsanaanta, wax u dhimista xisaabaadka aan la aamini karin waxay saameyn kartaa ilaa 52% dhammaan cutubyada NPM guud ahaan.

Finalmente Haddii aad xiisaynayso inaad waxbadan ka ogaato, waxaad ku hubin kartaa faahfaahinta qoraalka asalka ah Xiriirka soo socda.


Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Ka mas'uul ah xogta: AB Internet Networks 2008 SL
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.