GitHub повышает безопасность npm, вводя обязательную двухфакторную аутентификацию и токены доступа
GitHub внедряет систему защиты от атак на цепочку поставок на платформе, которые в последнее время привели к множеству крупномасштабных инцидентов.
Среди заметных кибератак, которые начались с компрометации репозиториев GitHub, а затем распространились на NPM, можно назвать атаку s1ngularity в конце августа, кампанию GhostAction в начале сентября и кампанию в стиле червя под названием Shai-Hulud, которая проводилась на прошлой неделе.
В результате атак были скомпрометированы тысячи учётных записей и частных хранилищ, похищены конфиденциальные данные, а также были понесены значительные расходы на устранение последствий.
Хотя GitHub оперативно отреагировал, чтобы минимизировать последствия этих инцидентов, платформа для разработчиков признает, что более эффективные превентивные меры были бы более действенными.
Чтобы снизить эти риски, GitHub объявил, что будет постепенно внедрять следующие меры:
- Для локальной публикации требуется двухфакторная аутентификация (2FA).
- Используйте токены с ограниченным сроком действия — 7 дней.
- Расширяйте и поощряйте внедрение доверенных публикаций.
- Отказ от классических токенов и двухфакторной аутентификации TOTP (переход на двухфакторную аутентификацию на основе FIDO).
- Сократите срок действия токенов для публикации.
- Доступ к публикации по умолчанию запрещён для токенов.
- Отключение возможности обхода двухфакторной аутентификации при локальной публикации.
Мы настоятельно рекомендуем использовать надёжную систему публикации, которая уже внедрена во многих экосистемах и избавляет от необходимости управлять токенами API в системах сборки.
Разработчикам NPM рекомендуется немедленно перейти на доверенную публикацию, а также включить двухфакторную аутентификацию для публикации и записи и использовать WebAuth вместо одноразовых паролей на основе времени (TOTP) для двухфакторной аутентификации.
Платформа для размещения кода и совместной работы будет внедрять эти изменения постепенно и предоставит необходимую документацию и руководства по миграции, чтобы свести к минимуму сбои в существующих рабочих процессах.
В объявлении также подчёркивается, что безопасность экосистемы — это коллективная ответственность, и ожидается, что разработчики будут сами принимать меры по снижению рисков в цепочке поставок, используя более надёжные средства защиты, доступные на платформе.
Ruby Central также объявила об ужесточении контроля над менеджером пакетов RubyGems для повышения уровня защиты цепочки поставок.
Эта экосистема недавно столкнулась с аналогичными проблемами, такими как кампания с 60 вредоносными Ruby-гем-модулями, которые были загружены 275 000 раз, и ещё один проект typosquating the Fastlane для Telegram.
До тех пор, пока не будет окончательно утверждена новая модель управления и основополагающие принципы, административный доступ будет только у сотрудников Ruby Central.
В объявлении говорится о переходе к более прозрачной модели, ориентированной на сообщество. Ожидается, что в ходе запланированной на сегодня сессии вопросов и ответов будут развеяны опасения, связанные с внезапными действиями, которые многие участники сообщества Ruby назвали грубым захватом.
Редактор: AndreyEx
