Github, NPM güvenliğini artırmak için eksiksiz bir plan sundu (düğüm paketi yönetimi). Önlemler, Sepet ortası ortasındaki ana NPM saldırısına doğrudan bir tepkidir ve burada bir kendi kendine devre dışı kötü amaçlı yazılım, onlarca JavaScript paketine enfekte olmuş bakım hesaplarına kıyasla.
GitHub'ın bir blog yayınında açıklandığı gibi, gelecekte paket yayınlama için sadece üç kimlik doğrulama yöntemi desteklenecektir: zorunlu iki faktör kimlik doğrulaması, zaman içinde sınırlı taneli belirteçler ve en fazla yedi günlük geçerlilik ve güvenilir yayın ile yerel yayın.
Jeton ve 2FA'da sert değişiklikler
Planlanan güvenlik iyileştirmeleri önceki önlemlerin çok ötesine geçer. Github, klasik miras jetonlarını tamamen ortadan kaldırmak ve iki faktörlerin kimlik doğrulaması için zamana (TOTP) dayalı tek tek şifreleri güvenilir tabanlı prosedürlerle değiştirmek istiyor. Editoryal yetkiye sahip granüler jetonlar önemli ölçüde kısaltılmış bir geçerlilik dönemi alır.
Özellikle Sert: Yayına erişim, varsayılan jetona dayalı kimlik doğrulama ile yasaktır. Bunun yerine, geliştiriciler 2FA ile güvenilir veya yerel yayının yayınlanmasına geçmelidir. Yerel paketlerin yayınlanmasında iki faktörün kimlik doğrulamasını atlama seçeneği artık gerekli değildir.
Kilit teknoloji olarak güvenilir yayın
Github, açık kaynak güvenlik vakfının bir çalışma grubu tarafından önerilen bir güvenlik teknolojisi olan Yayıncılık Güvenine giderek daha fazla ifade eder. Prosedür, yapı sistemlerinde jeton arılarını yönetme ihtiyacını ortadan kaldırır ve PYPI, Rubygems, Calle.io ve Nuget tarafından zaten uygulanmıştır.
Github başlangıçta güvenilir yayıncılığın organik büyümesini beklemek istedi. Ancak, son saldırılar daha hızlı eylemin gerekli olduğunu göstermiştir. Bu nedenle şirket, güvenilir yayıncılık için desteklenen tedarikçi sayısını genişletmeyi sağlar.
Shai-hulud'a göre anında karşı önlemler
Shai Hulud'un wurm'una yanıt olarak Github, NPM kaydı tarafından tehlikeye atılan 500'den fazla paketi kaldırmış ve yeni paketlerin uygun göstergelerle yüklenmesini engellemişti. Solucan, malign sonrası komut dosyalarının kesişimi ile popüler JavaScript paketlerine yayılmış ve çeşitli sır türlerini çalmıştı.
Github, güvenlik değişikliklerinin yavaş yavaş en aza indirmek için bozukluklar getirdiğini duyurdu. Şirket, geçiş sırasında net planlar, belgeler, göç ve destek kanalları için yönergelerle birlikte geliştiricilere eşlik etmek istiyor. Mainners zaten güvenilir bir yayına geçebilir ve hesap, kuruluşlar ve paketler için editoryal ortamlarını sıkılaştırabilir.
(Mack)
Bir yanıt yazın