Github, yazılımı daha güvenli ve yönetilebilir hale getirmeyi amaçlayan NPM'de (Düğüm Paket Yöneticisi) üç önemli iyileştirmenin genel kullanılabilirliğini duyurdu.
Özetle, yeni özellikler daha akıcı bir giriş ve yayıncılık deneyimi, Twitter ve Github hesaplarını NPM'ye bağlama yeteneği ve yeni bir paket imza doğrulama sistemi içerir.
Aynı zamanda Github, Mayıs 2022'de tanıtılan iki faktörlü kimlik doğrulama programının beta çıkmaya ve tüm NPM kullanıcıları için kullanılabilir olmaya hazır olduğunu duyurdu.
NPM platformu, GitHub'ın bir yan kuruluşudur ve geliştiricilerin projeleri tarafından günde beş milyar paket indirmek için kullanılan JavaScript kodlayıcıları için bir paket yöneticisi ve depo (kayıt defteri).
Son zamanlarda yüzlerce uygulama ve web sitesini etkileyen büyük ölçekli güvenlik olayları yaşadı ve Github'u güvenlik artırıcı bir plan geliştirmeye ve acilen uygulamaya zorladı.
Yeni NPM giriş ve yayınlama sistemi, kimlik doğrulamasının web tarayıcısı tarafından işlenmesini sağlar, bu nedenle geçerli kimlik doğrulama jetonları aynı oturumda beş dakikaya kadar tutulabilir.
Bu değişiklik, geliştiricileri her eylemde yeni bir kerelik şifrelere girmeye zorlayan 2FA sisteminin tanıtımı ile oluşturulan sürtünmeyi azaltmaktır.
GitHub ve Twitter hesaplarını NPM'ye bağlama seçeneği, güvenilirlik eklemeye ve NPM hesaplarının popüler yazılımın yaratıcılarını taklit edememesi için bir kimlik doğrulama biçimi olarak hizmet etmeyi amaçlamaktadır.
Dahası, bu yeni sistem gerektiğinde hesap kurtarmaya yardımcı olmalı, süreci daha güvenilir ve daha az hantal hale getirmeli ve gelecekte daha fazla otomasyon için zemin hazırlamalıdır.
Son olarak, önceki çok adımlı, karmaşık PGP işleminin yerini alan yeni bir imza denetim sistemi var ve geliştiricilere NPM paketlerinin imzasını doğrulamak için çok daha kolay bir yöntem sağlıyor.
Kullanıcılar artık NPM CLI'deki yeni “NPM Denetim İmzaları” komutunu kullanarak paketlerin kaynağını yerel olarak doğrulayabilecek.
Eşzamanlı olarak, platform tüm paketleri ECDSA (eliptik eğri kriptografisi) algoritması ile yeniden imzalar ve anahtar yönetim için HSM kullanır ve güvenliği daha da artırır.
NPM kayıt defterini güvence altına almanın bir sonraki adımı, haftalık milyondan fazla indirme veya 500 bağımlısı olan paketleri yöneten tüm hesaplarda iki faktörlü kimlik doğrulamasını uygulamaktır.
Github, bunun ancak hesap kurtarma işlemi ek kimlik doğrulama formları ile daha da geliştirildikten sonra uygulanacağını söylüyor, bu nedenle bir sonraki adımın yanı sıra katı zaman çizelgeleri sağlanmadı.
Kötü amaçlı NPM paketleri Discord kullanıcıların ödeme kartı bilgilerini çalın
Hava engelli sistemler SATA kablosu wifi antenleri aracılığıyla sızıntı verileri
NPM Tedarik Zinciri Saldırısı yüzlerce web sitesini ve uygulamayı etkiler
900.000'den fazla Kubernetes örneği çevrimiçi olarak maruz kaldı
Android Kötü Yazılım ‘Revive’, BBVA Bank’ın 2FA uygulamasını taklit ediyor
Kaynak: Bleeping Computer