npm, самый популярный менеджер пакетов в экосистеме JavaScript, внедрил новые меры безопасности для борьбы с атаками на цепочку поставок. Теперь для публикации пакетов требуется двухфакторная аутентификация, а также появилась возможность ограничивать установки в зависимости от происхождения или репутации пакета. Эта мера направлена на предотвращение внедрения злоумышленниками вредоносного кода в популярные компоненты — проблема, которая становится всё более актуальной в разработке программного обеспечения.
Как работают новые фильтры безопасности в npm 🔒
Двухфакторная аутентификация (2FA) становится обязательной для тех, кто публикует пакеты, что снижает риск компрометации учетных записей. Кроме того, npm вводит опции для ограничения установок только проверенными или имеющими хорошую репутацию пакетами, используя подписи и анализ поведения. Это позволяет разработчикам блокировать подозрительные зависимости до того, как они попадут в продакшн. Обновление также включает ранние предупреждения о пакетах с аномальной активностью или недавними изменениями в их мейнтейнерах.
Прощай, установка пакетов как конфет 🍬
Наконец-то npm становится серьезным, как раз когда многие разработчики уже смирились с тем, что любой пакет с GitHub заслуживает доверия. Теперь установка той библиотеки с 5 звездами, но не обновлявшейся с 2018 года, потребует дважды подумать. Конечно, злоумышленники уже обновляют свои резюме, чтобы включить 2FA в свои поддельные аккаунты. Ирония судьбы: теперь даже у хакеров будет безопасность лучше, чем у вашего аккаунта Netflix.