Usługa GitHub/NPM tylko z uwierzytelnianiem dwuskładnikowym

Mając na uwadze ostatnie incydenty bezpieczeństwa związane z popularną usługą NPM (rejestr NPM zawiera pakiety open source dedykowane dla środowiska Node.js), GitHub podjął decyzję, że korzystający z niej deweloperzy będą musieli potwierdzać swoją tożsamość przy użyciu metody 2FA, czyli dwuskładnikowego uwierzytelnienia.

Foto: FLY:D/Unsplash

GitHub, którego właścicielem jest Microsoft, został zarządcą platformy programistycznej NPM w połowie zeszłego o roku. Platforma informuje, że nowa metoda uwierzytelniania wejdzie w życie na początku przyszłego roku.

GitHub odnotował w ostatnim czasie kilka poważnych przypadków atakowania przez hakerów rejestru NPM. Jeden z nich miał miejsce w październiku tego roku i został wykryty podczas rutynowej operacji konserwowania repozytorium. Okazało się, że znalazły się tam rekordy publikowane w publicznym kanale zmian (mające format @owner) które pozwalały identyfikować właścicieli prywatnych pakietów. Stało się tak prawdopodobnie za sprawą hakerów.

Zobacz również:

  • Malware Chinotto atakuje urządzenia Windows i Android
  • GitHub: produktywność deweloperów wraca do poziomu sprzed pandemii

Kolejny incydent odnotowano na początku listopada. GitHub otrzymał raport o luce, która umożliwiałaby atakującemu opublikowanie nowych wersji dowolnego pakietu NPM przy użyciu konta nie mającego odpowiedniej autoryzacji. Luka ta została załatana w ciągu sześciu godzin od otrzymania zgłoszenia.

GitHub został przejęty przez Microsoft w 2018 roku za kwotę opiewającą na 7,5 mld USD.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200