npm, o gerenciador de pacotes mais usado no ecossistema JavaScript, implementou novas medidas de segurança para conter ataques à cadeia de suprimentos. Agora exige verificação em duas etapas para publicar pacotes e permite restringir instalações com base em sua origem ou reputação. A medida busca evitar que invasores introduzam código malicioso em componentes populares, um problema crescente no desenvolvimento de software.
Como funcionam os novos filtros de segurança no npm 🔒
A autenticação de dois fatores (2FA) se torna obrigatória para quem publica pacotes, reduzindo o risco de contas comprometidas. Além disso, o npm introduz opções para limitar instalações a pacotes verificados ou com boa reputação, usando assinaturas e análise de comportamento. Isso permite que desenvolvedores bloqueiem dependências suspeitas antes que cheguem à produção. A atualização também inclui alertas precoces sobre pacotes com atividade anômala ou mudanças recentes em seus mantenedores.
Adeus a instalar pacotes como se fossem balas 🍬
Finalmente o npm está levando a sério, bem quando muitos desenvolvedores já haviam assumido que qualquer pacote do GitHub era digno de confiança. Agora, instalar aquela biblioteca de 5 estrelas mas sem atualização desde 2018 exigirá pensar duas vezes. Claro, os atacantes já estão atualizando seus currículos para incluir 2FA em suas contas falsas. Ironias do destino: agora até os hackers terão melhor segurança que sua conta do Netflix.