npmは、JavaScriptエコシステムで最も使用されているパッケージマネージャーであり、サプライチェーン攻撃を阻止するための新たなセキュリティ対策を導入しました。パッケージ公開には2要素認証が必須となり、出所や評判に基づいてインストールを制限できるようになりました。この措置は、攻撃者が人気コンポーネントに悪意のあるコードを仕込むことを防ぐことを目的としており、ソフトウェア開発において増大する問題に対処するものです。
npmの新しいセキュリティフィルターの仕組み 🔒
パッケージを公開する人には2要素認証(2FA)が必須となり、アカウントが乗っ取られるリスクが軽減されます。さらにnpmは、署名や動作分析を使用して、検証済みまたは評判の良いパッケージにインストールを制限するオプションを導入します。これにより、開発者は疑わしい依存関係が本番環境に到達する前にブロックできるようになります。このアップデートには、異常なアクティビティやメンテナーに最近変更があったパッケージに関する早期警告も含まれています。
パッケージをキャンディーのようにインストールする時代は終わり 🍬
ついにnpmが本気を出しました。多くの開発者がすでにGitHubのパッケージなら何でも信頼できると思い込んでいた矢先のことです。今後は、2018年から更新されていない星5つのライブラリをインストールするには、よく考える必要があるでしょう。とはいえ、攻撃者たちはすでに偽アカウントに2FAを設定するために履歴書を更新しているところです。皮肉なことに、今やハッカーでさえあなたのNetflixアカウントよりも優れたセキュリティを持つことになるでしょう。