Usługa GitHub/NPM tylko z uwierzytelnianiem dwuskładnikowym
- Janusz Chustecki,
- 23.11.2021, godz. 10:53
Mając na uwadze ostatnie incydenty bezpieczeństwa związane z popularną usługą NPM (rejestr NPM zawiera pakiety open source dedykowane dla środowiska Node.js), GitHub podjął decyzję, że korzystający z niej deweloperzy będą musieli potwierdzać swoją tożsamość przy użyciu metody 2FA, czyli dwuskładnikowego uwierzytelnienia.
GitHub, którego właścicielem jest Microsoft, został zarządcą platformy programistycznej NPM w połowie zeszłego o roku. Platforma informuje, że nowa metoda uwierzytelniania wejdzie w życie na początku przyszłego roku.
GitHub odnotował w ostatnim czasie kilka poważnych przypadków atakowania przez hakerów rejestru NPM. Jeden z nich miał miejsce w październiku tego roku i został wykryty podczas rutynowej operacji konserwowania repozytorium. Okazało się, że znalazły się tam rekordy publikowane w publicznym kanale zmian (mające format @owner) które pozwalały identyfikować właścicieli prywatnych pakietów. Stało się tak prawdopodobnie za sprawą hakerów.
Zobacz również:
- Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
- GitHub prezentuje funkcję wykorzystującą AI, która automatycznie skanuje i naprawia kod aplikacji
Kolejny incydent odnotowano na początku listopada. GitHub otrzymał raport o luce, która umożliwiałaby atakującemu opublikowanie nowych wersji dowolnego pakietu NPM przy użyciu konta nie mającego odpowiedniej autoryzacji. Luka ta została załatana w ciągu sześciu godzin od otrzymania zgłoszenia.
GitHub został przejęty przez Microsoft w 2018 roku za kwotę opiewającą na 7,5 mld USD.