GitHub kısa süre önce NPM ekosisteminde bazı değişiklikler yayınladı Ortaya çıkan ve en yeni güvenlik sorunlarıyla ilgili olarak, bazı saldırganların coa NPM paketinin kontrolünü ele geçirmeyi başarması ve 2.0.3, 2.0.4, 2.1.1, 2.1.3 ve 3.1.3 güncellemelerini yayınlamasıydı. XNUMX, kötü niyetli değişiklikler dahil.
Bununla ilgili olarak ve artan depo nöbetleri insidansı ile büyük projelerin ve kötü amaçlı kodu teşvik etmek Geliştirici hesaplarından ödün verme yoluyla GitHub, genişletilmiş hesap doğrulamasını sunuyor.
Ayrı olarak, en popüler 500 NPM paketinin sahipleri ve yöneticileri için, önümüzdeki yılın başlarında zorunlu iki faktörlü kimlik doğrulama tanıtılacak.
7 Aralık 2021'den 4 Ocak 2022'ye kadar, NPM paketlerini serbest bırakma hakkına sahip tüm bakıcılar, ancak iki faktörlü kimlik doğrulamayı kullanmayanlar, genişletilmiş hesap doğrulamasını kullanmaya aktarılacaktır.. Genişletilmiş doğrulama, npmjs.com sitesine girmeye veya npm yardımcı programında kimliği doğrulanmış bir işlem gerçekleştirmeye çalışırken e-posta yoluyla gönderilen benzersiz bir kod girme ihtiyacını içerir.
Genişletilmiş doğrulama, isteğe bağlı iki faktörlü kimlik doğrulamanın yerini almaz, yalnızca tamamlar tek seferlik parolaların (TOTP) doğrulanmasını gerektiren önceden mevcut. Genişletilmiş e-posta doğrulaması geçerli değil iki faktörlü kimlik doğrulama etkinleştirildiğinde. 1 Şubat 2022'den itibaren, en çok bağımlılığa sahip en popüler 100 NPM paketinin zorunlu iki faktörlü kimlik doğrulamasına geçiş süreci başlayacak.
Bugün, npm kayıt defterinde geliştirilmiş oturum açma doğrulamasını tanıtıyoruz ve 7 Aralık'ta başlayıp 4 Ocak'ta sona eren bakımcılar için aşamalı bir sunuma başlayacağız. Paketleri yayınlama erişimi olan ve iki faktörlü kimlik doğrulaması (2FA) etkin olmayan Npm kayıt defteri sahipleri, npmjs.com web sitesi veya Npm CLI aracılığıyla kimlik doğrulaması yaptıklarında tek kullanımlık parola (OTP) içeren bir e-posta alır.
Kimlik doğrulaması yapılmadan önce, e-postayla gönderilen bu OTP'nin, kullanıcının şifresine ek olarak sağlanması gerekecektir. Bu ek kimlik doğrulama katmanı, bir kullanıcının güvenliği ihlal edilmiş ve yeniden kullanılmış parolasını kullanan, kimlik bilgisi doldurma gibi yaygın hesap ele geçirme saldırılarının önlenmesine yardımcı olur. Gelişmiş Giriş Doğrulamasının tüm yayıncılar için ek bir temel koruma olması amaçlandığını belirtmekte fayda var. 2FA, NIST 800-63B'nin yerine geçmez. Bakımcıları 2FA kimlik doğrulamasını seçmeye teşvik ediyoruz. Bunu yaparak, gelişmiş bir oturum açma doğrulaması yapmanız gerekmeyecektir.
İlk yüzün geçişini tamamladıktan sonra, değişiklik en popüler 500 NPM paketine yayılacak bağımlılık sayısı açısından.
Tek kullanımlık şifreler (Authy, Google Authenticator, FreeOTP, vb.) oluşturmak için şu anda mevcut olan uygulama tabanlı iki faktörlü kimlik doğrulama şemalarına ek olarak, Nisan 2022'de donanım anahtarlarını ve biyometrik tarayıcıları kullanma yeteneği eklemeyi planlıyorlar bunun için WebAuthn protokolü desteğinin yanı sıra çeşitli ek kimlik doğrulama faktörlerini kaydetme ve yönetme yeteneği vardır.
2020'de yapılan bir araştırmaya göre, paket yöneticilerinin yalnızca %9.27'sinin erişimi korumak için iki faktörlü kimlik doğrulama kullandığını ve vakaların %13.37'sinde yeni hesap kaydederken geliştiricilerin bilinen şifrelerde görünen güvenliği ihlal edilmiş şifreleri yeniden kullanmaya çalıştığını hatırlayın. .
Şifre gücü analizi sırasında Kullanılmış, NPM'deki hesapların %12'sine erişildi (paketlerin %13'ü), "123456" gibi öngörülebilir ve önemsiz parolaların kullanılması nedeniyle. Sorunlar arasında en popüler 4 paketin 20 kullanıcı hesabı, paketleri ayda 13 milyondan fazla indirilen 50 hesap, ayda 40 - 10 milyondan fazla indirme ve 282 ayda 1 milyondan fazla indirme vardı. Bağımlılıklar zinciri boyunca modüllerin yükü göz önüne alındığında, güvenilmeyen hesaplardan ödün verilmesi toplamda NPM'deki tüm modüllerin %52'sine kadarını etkileyebilir.
Nihayet Bununla ilgili daha fazla bilgi edinmek istiyorsanız, Ayrıntıları orijinal notta kontrol edebilirsiniz Aşağıdaki bağlantıda.