npm, il gestore di pacchetti più utilizzato nell'ecosistema JavaScript, ha implementato nuove misure di sicurezza per frenare gli attacchi alla catena di fornitura. Ora richiede la verifica in due passaggi per pubblicare pacchetti e consente di limitare le installazioni in base alla loro origine o reputazione. La misura mira a impedire che gli attaccanti introducano codice dannoso in componenti popolari, un problema crescente nello sviluppo del software.
Come funzionano i nuovi filtri di sicurezza in npm 🔒
L'autenticazione a due fattori (2FA) diventa obbligatoria per chi pubblica pacchetti, riducendo il rischio di account compromessi. Inoltre, npm introduce opzioni per limitare le installazioni a pacchetti verificati o con buona reputazione, utilizzando firme e analisi del comportamento. Ciò consente agli sviluppatori di bloccare dipendenze sospette prima che arrivino in produzione. L'aggiornamento include anche avvisi tempestivi su pacchetti con attività anomala o cambiamenti recenti nei loro manutentori.
Addio all'installare pacchetti come se fossero caramelle 🍬
Finalmente npm si fa serio, proprio quando molti sviluppatori avevano già dato per scontato che qualsiasi pacchetto su GitHub fosse degno di fiducia. Ora, installare quella libreria da 5 stelle ma non aggiornata dal 2018 richiederà di pensarci due volte. Certo, gli attaccanti stanno già aggiornando i loro CV per includere il 2FA nei loro account falsi. Ironie del destino: ora anche gli hacker avranno una sicurezza migliore del tuo account Netflix.