npm, le gestionnaire de paquets le plus utilisé dans l'écosystème JavaScript, a mis en place de nouvelles mesures de sécurité pour freiner les attaques sur la chaîne d'approvisionnement. Il exige désormais une vérification en deux étapes pour publier des paquets et permet de restreindre les installations en fonction de leur origine ou de leur réputation. La mesure vise à empêcher les attaquants d'introduire du code malveillant dans des composants populaires, un problème croissant dans le développement de logiciels.
Comment fonctionnent les nouveaux filtres de sécurité dans npm 🔒
L'authentification à deux facteurs (2FA) devient obligatoire pour ceux qui publient des paquets, réduisant le risque de comptes compromis. De plus, npm introduit des options pour limiter les installations aux paquets vérifiés ou de bonne réputation, en utilisant des signatures et des analyses de comportement. Cela permet aux développeurs de bloquer les dépendances suspectes avant qu'elles n'atteignent la production. La mise à jour inclut également des alertes précoces concernant les paquets avec une activité anormale ou des changements récents dans leurs mainteneurs.
Fini d'installer des paquets comme s'il s'agissait de bonbons 🍬
Enfin, npm devient sérieux, juste au moment où de nombreux développeurs avaient déjà assumé que n'importe quel paquet GitHub était digne de confiance. Maintenant, installer cette bibliothèque 5 étoiles mais non mise à jour depuis 2018 nécessitera d'y réfléchir à deux fois. Bien sûr, les attaquants mettent déjà à jour leurs CV pour inclure la 2FA dans leurs faux comptes. Ironie du sort : désormais, même les pirates auront une meilleure sécurité que votre compte Netflix.