एनपीएम सुरक्षा मजबूत करता है: पैकेज प्रकाशित करने के लिए दो चरणीय प्रमाणीकरण अनिवार्य

npm, जावास्क्रिप्ट पारिस्थितिकी तंत्र में सबसे अधिक उपयोग किया जाने वाला पैकेज मैनेजर, आपूर्ति श्रृंखला हमलों को रोकने के लिए नए सुरक्षा उपाय लागू कर चुका है। अब पैकेज प्रकाशित करने के लिए दो-चरणीय सत्यापन अनिवार्य है और यह उनकी उत्पत्ति या प्रतिष्ठा के आधार पर इंस्टॉलेशन को प्रतिबंधित करने की अनुमति देता है। इस उपाय का उद्देश्य हमलावरों को लोकप्रिय घटकों में दुर्भावनापूर्ण कोड डालने से रोकना है, जो सॉफ्टवेयर विकास में एक बढ़ती हुई समस्या है।

npm में नए सुरक्षा फ़िल्टर कैसे काम करते हैं 🔒

पैकेज प्रकाशित करने वालों के लिए दो-कारक प्रमाणीकरण (2FA) अनिवार्य हो जाता है, जिससे समझौता किए गए खातों का जोखिम कम हो जाता है। इसके अलावा, npm हस्ताक्षर और व्यवहार विश्लेषण का उपयोग करके सत्यापित या अच्छी प्रतिष्ठा वाले पैकेजों तक इंस्टॉलेशन को सीमित करने के विकल्प प्रस्तुत करता है। यह डेवलपर्स को प्रोडक्शन तक पहुंचने से पहले संदिग्ध निर्भरताओं को ब्लॉक करने की अनुमति देता है। अपडेट में असामान्य गतिविधि या उनके अनुरक्षकों में हालिया बदलाव वाले पैकेजों के बारे में प्रारंभिक चेतावनी भी शामिल है।

अलविदा, पैकेजों को कैंडी की तरह इंस्टॉल करना 🍬

आखिरकार npm गंभीर हो गया है, ठीक उस समय जब कई डेवलपर्स ने पहले ही मान लिया था कि GitHub का कोई भी पैकेज भरोसेमंद है। अब, उस 5-स्टार लाइब्रेरी को इंस्टॉल करने के लिए जो 2018 से अपडेट नहीं हुई है, दो बार सोचना होगा। हालांकि, हमलावर पहले से ही अपने नकली खातों में 2FA शामिल करने के लिए अपने CV अपडेट कर रहे हैं। विडंबना: अब हैकर्स के पास भी आपके Netflix खाते से बेहतर सुरक्षा होगी।