GitHub சமீபத்தில் NPM சுற்றுச்சூழல் அமைப்பில் சில மாற்றங்களை வெளியிட்டது பாதுகாப்பு சிக்கல்கள் தொடர்பாக எழும் மற்றும் சமீபத்திய ஒன்று, சில தாக்குபவர்கள் coa NPM தொகுப்பைக் கட்டுப்படுத்தி, 2.0.3, 2.0.4, 2.1.1, 2.1.3 மற்றும் 3.1.3 புதுப்பிப்புகளை வெளியிட்டனர். XNUMX, இதில் தீங்கிழைக்கும் மாற்றங்கள் அடங்கும்.
இது தொடர்பாக மற்றும் களஞ்சியங்கள் வலிப்புத்தாக்கங்கள் அதிகரித்து வரும் நிகழ்வுகளுடன் பெரிய திட்டங்கள் மற்றும் தீங்கிழைக்கும் குறியீட்டை விளம்பரப்படுத்துகிறது டெவலப்பர் கணக்குகளை சமரசம் செய்வதன் மூலம், GitHub நீட்டிக்கப்பட்ட கணக்கு சரிபார்ப்பை அறிமுகப்படுத்துகிறது.
தனித்தனியாக, 500 மிகவும் பிரபலமான NPM தொகுப்புகளின் பராமரிப்பாளர்கள் மற்றும் நிர்வாகிகளுக்கு, அடுத்த ஆண்டு தொடக்கத்தில் கட்டாய இரு காரணி அங்கீகாரம் அறிமுகப்படுத்தப்படும்.
டிசம்பர் 7, 2021 முதல் ஜனவரி 4, 2022 வரை, NPM தொகுப்புகளை வெளியிட உரிமை உள்ள அனைத்து பராமரிப்பாளர்களும், ஆனால் இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்தாதவர்கள், நீட்டிக்கப்பட்ட கணக்கு சரிபார்ப்பைப் பயன்படுத்துவதற்கு மாற்றப்படுவார்கள். npmjs.com தளத்தில் நுழைய முயற்சிக்கும்போது அல்லது npm பயன்பாட்டில் அங்கீகரிக்கப்பட்ட செயல்பாட்டைச் செய்ய முயற்சிக்கும்போது மின்னஞ்சல் வழியாக அனுப்பப்படும் தனிப்பட்ட குறியீட்டை உள்ளிட வேண்டியதன் அவசியத்தை விரிவாக்கப்பட்ட சரிபார்ப்பு உள்ளடக்குகிறது.
விரிவாக்கப்பட்ட சரிபார்ப்பு மாற்றியமைக்காது ஆனால் விருப்பமான இரு காரணி அங்கீகாரத்தை மட்டுமே சேர்க்கிறது முன்பு கிடைத்தது, இதற்கு ஒரு முறை கடவுச்சொற்களை (TOTP) சரிபார்க்க வேண்டும். நீட்டிக்கப்பட்ட மின்னஞ்சல் சரிபார்ப்பு பொருந்தாது இரண்டு காரணி அங்கீகாரம் செயல்படுத்தப்படும் போது. பிப்ரவரி 1, 2022 முதல், 100 மிகவும் பிரபலமான NPM பேக்கேஜ்களின் கட்டாய இரு காரணி அங்கீகாரத்திற்கு நகரும் செயல்முறை தொடங்கும்.
இன்று நாங்கள் npm பதிவேட்டில் மேம்படுத்தப்பட்ட உள்நுழைவு சரிபார்ப்பை அறிமுகப்படுத்துகிறோம், மேலும் பராமரிப்பாளர்களுக்கான ஒரு நிலையான வெளியீட்டை டிசம்பர் 7 ஆம் தேதி தொடங்கி ஜனவரி 4 ஆம் தேதி முடிவடையும். தொகுப்புகளை வெளியிடுவதற்கான அணுகலைக் கொண்ட Npm ரெஜிஸ்ட்ரி பராமரிப்பாளர்கள் மற்றும் இரண்டு காரணி அங்கீகாரம் (2FA) இயக்கப்படாதவர்கள், npmjs.com இணையதளம் அல்லது Npm CLI மூலம் அங்கீகரிக்கும்போது, ஒரு முறை கடவுச்சொல் (OTP) கொண்ட மின்னஞ்சலைப் பெறுவார்கள்.
இந்த மின்னஞ்சலில் அனுப்பப்பட்ட OTP, அங்கீகரிக்கும் முன் பயனரின் கடவுச்சொல்லுடன் கூடுதலாக வழங்கப்பட வேண்டும். இந்த கூடுதல் அங்கீகார அடுக்கு, பயனரின் சமரசம் செய்யப்பட்ட மற்றும் மீண்டும் பயன்படுத்தப்பட்ட கடவுச்சொல்லைப் பயன்படுத்தும் நற்சான்றிதழ் நிரப்புதல் போன்ற பொதுவான கணக்கு கடத்தல் தாக்குதல்களைத் தடுக்க உதவுகிறது. மேம்படுத்தப்பட்ட உள்நுழைவு சரிபார்ப்பு என்பது அனைத்து வெளியீட்டாளர்களுக்கும் கூடுதல் அடிப்படைப் பாதுகாப்பாக இருக்கும் என்பது குறிப்பிடத்தக்கது. இது 2FA, NIST 800-63Bக்கு மாற்றாக இல்லை. 2FA அங்கீகாரத்தைத் தேர்வுசெய்ய பராமரிப்பாளர்களை நாங்கள் ஊக்குவிக்கிறோம். இதைச் செய்வதன் மூலம், நீங்கள் மேம்படுத்தப்பட்ட உள்நுழைவு சரிபார்ப்பைச் செய்ய வேண்டியதில்லை.
முதல் நூறின் இடம்பெயர்வை முடித்த பிறகு, இந்த மாற்றம் மிகவும் பிரபலமான 500 NPM தொகுப்புகளுக்குப் பரப்பப்படும். சார்புகளின் எண்ணிக்கையின் அடிப்படையில்.
ஒரு முறை கடவுச்சொற்களை உருவாக்குவதற்கு தற்போது கிடைக்கக்கூடிய பயன்பாடு அடிப்படையிலான இரு-காரணி அங்கீகார திட்டங்களுக்கு கூடுதலாக (Authy, Google Authenticator, FreeOTP, முதலியன), ஏப்ரல் 2022 இல், வன்பொருள் விசைகள் மற்றும் பயோமெட்ரிக் ஸ்கேனர்களைப் பயன்படுத்தும் திறனைச் சேர்க்க அவர்கள் திட்டமிட்டுள்ளனர். WebAuthn நெறிமுறைக்கு ஆதரவு உள்ளது, அத்துடன் பல்வேறு கூடுதல் அங்கீகார காரணிகளை பதிவுசெய்து நிர்வகிக்கும் திறன் உள்ளது.
2020 இல் நடத்தப்பட்ட ஒரு ஆய்வின்படி, 9.27% தொகுப்பு மேலாளர்கள் மட்டுமே அணுகலைப் பாதுகாக்க இரண்டு காரணி அங்கீகாரத்தைப் பயன்படுத்துகின்றனர், மேலும் 13.37% வழக்குகளில், புதிய கணக்குகளைப் பதிவு செய்யும் போது, டெவலப்பர்கள் அறியப்பட்ட கடவுச்சொற்களில் தோன்றும் சமரசம் செய்யப்பட்ட கடவுச்சொற்களை மீண்டும் பயன்படுத்த முயன்றனர். .
கடவுச்சொல் வலிமை பகுப்பாய்வு போது பயன்படுத்தப்பட்டது, NPM இல் உள்ள 12% கணக்குகள் அணுகப்பட்டன (13% தொகுப்புகள்) "123456" போன்ற யூகிக்கக்கூடிய மற்றும் அற்பமான கடவுச்சொற்களைப் பயன்படுத்துவதால். சிக்கல்களில் 4 மிகவும் பிரபலமான தொகுப்புகளின் 20 பயனர் கணக்குகள், 13 கணக்குகள் மாதத்திற்கு 50 மில்லியனுக்கும் அதிகமான முறை பதிவிறக்கம் செய்யப்பட்டன, 40 - மாதத்திற்கு 10 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்கள் மற்றும் 282 ஒரு மாதத்திற்கு 1 மில்லியனுக்கும் அதிகமான பதிவிறக்கங்கள். சார்புகளின் சங்கிலியில் உள்ள தொகுதிகளின் சுமையைக் கருத்தில் கொண்டு, நம்பத்தகாத கணக்குகளை சமரசம் செய்வது NPM இல் உள்ள மொத்த தொகுதிகளில் 52% வரை பாதிக்கலாம்.
இறுதியாக இதைப் பற்றி மேலும் அறிய நீங்கள் ஆர்வமாக இருந்தால், அசல் குறிப்பில் உள்ள விவரங்களை நீங்கள் சரிபார்க்கலாம் பின்வரும் இணைப்பில்.