npm, der am häufigsten verwendete Paketmanager im JavaScript-Ökosystem, hat neue Sicherheitsmaßnahmen implementiert, um Angriffe auf die Lieferkette zu unterbinden. Jetzt ist eine Zwei-Faktor-Authentifizierung für die Veröffentlichung von Paketen erforderlich, und es ermöglicht, Installationen basierend auf ihrer Herkunft oder Reputation einzuschränken. Die Maßnahme soll verhindern, dass Angreifer bösartigen Code in beliebte Komponenten einschleusen, ein wachsendes Problem in der Softwareentwicklung.
Wie die neuen Sicherheitsfilter in npm funktionieren 🔒
Die Zwei-Faktor-Authentifizierung (2FA) wird für diejenigen, die Pakete veröffentlichen, obligatorisch, wodurch das Risiko kompromittierter Konten reduziert wird. Darüber hinaus führt npm Optionen ein, um Installationen auf verifizierte oder vertrauenswürdige Pakete zu beschränken, indem Signaturen und Verhaltensanalysen verwendet werden. Dies ermöglicht es Entwicklern, verdächtige Abhängigkeiten zu blockieren, bevor sie in die Produktion gelangen. Das Update enthält auch Frühwarnungen vor Paketen mit anomaler Aktivität oder kürzlichen Änderungen bei ihren Maintainern.
Schluss mit dem Installieren von Paketen wie Süßigkeiten 🍬
Endlich wird npm ernst, genau zu dem Zeitpunkt, als viele Entwickler bereits angenommen hatten, dass jedes GitHub-Paket vertrauenswürdig sei. Jetzt erfordert die Installation dieser 5-Sterne-Bibliothek, die seit 2018 nicht aktualisiert wurde, eine zweite Überlegung. Allerdings aktualisieren Angreifer bereits ihre Lebensläufe, um 2FA in ihren gefälschten Konten zu integrieren. Ironie des Schicksals: Jetzt werden sogar Hacker eine bessere Sicherheit haben als dein Netflix-Konto.