npm,JavaScript生态系统中使用最广泛的包管理器,已实施新的安全措施以遏制供应链攻击。现在,发布包时必须进行双重验证,并允许根据来源或信誉限制安装。此举旨在防止攻击者向流行组件中注入恶意代码,这是软件开发中日益严重的问题。
npm新安全过滤器的工作原理 🔒
双因素认证(2FA)对于发布包的用户变为强制要求,从而降低了账户被入侵的风险。此外,npm引入了限制安装已验证或信誉良好包的选项,使用签名和行为分析。这使得开发者能够在可疑依赖项进入生产环境之前将其阻止。此次更新还包括对具有异常活动或维护者近期变更的包的早期警报。
告别像吃糖果一样随意安装包 🍬
终于,npm认真起来了,就在许多开发者已经默认任何GitHub上的包都值得信赖的时候。现在,安装那个有5星评价但自2018年以来未更新的库需要三思而后行。当然,攻击者已经在更新他们的简历,将2FA纳入他们的虚假账户中。命运的讽刺:现在连黑客的安全措施都比你的Netflix账户更好。