npm، مدير الحزم الأكثر استخدامًا في نظام JavaScript البيئي، نفذ إجراءات أمنية جديدة لوقف الهجمات على سلسلة التوريد. أصبح يطلب الآن التحقق بخطوتين لنشر الحزم ويسمح بتقييد التثبيتات بناءً على مصدرها أو سمعتها. يهدف الإجراء إلى منع المهاجمين من إدخال تعليمات برمجية ضارة في المكونات الشائعة، وهي مشكلة متزايدة في تطوير البرمجيات.
كيف تعمل مرشحات الأمان الجديدة في npm 🔒
أصبحت المصادقة الثنائية (2FA) إلزامية لمن ينشرون الحزم، مما يقلل من خطر اختراق الحسابات. بالإضافة إلى ذلك، يقدم npm خيارات لتقييد التثبيتات على الحزم الموثقة أو ذات السمعة الجيدة، باستخدام التوقيعات وتحليل السلوك. يتيح ذلك للمطورين حظر التبعيات المشبوهة قبل وصولها إلى الإنتاج. يتضمن التحديث أيضًا تنبيهات مبكرة حول الحزم ذات النشاط غير الطبيعي أو التغييرات الأخيرة في القائمين على صيانتها.
وداعًا لتثبيت الحزم وكأنها حلوى 🍬
أخيرًا، أصبح npm جادًا، في الوقت الذي افترض فيه العديد من المطورين بالفعل أن أي حزمة من GitHub جديرة بالثقة. الآن، تثبيت تلك المكتبة ذات الخمس نجوم ولكن غير المحدثة منذ عام 2018 سيتطلب التفكير مرتين. صحيح أن المهاجمين يقومون بالفعل بتحديث سيرهم الذاتية لتشمل المصادقة الثنائية في حساباتهم المزيفة. سخرية القدر: الآن حتى المتسللين سيكون لديهم أمان أفضل من حسابك على Netflix.