GitHub کنترل دسترسی NPM را تقویت می کند

توکن‌های دسترسی دانه‌ای جدید به نگهدارنده‌های بسته NPM اجازه می‌دهند تا بسته‌ها، محدوده‌ها و سازمان‌هایی را که یک توکن به آن‌ها دسترسی دارد محدود کنند.

به‌دنبال بهبود ایمنی و امنیت بسته‌های جاوا اسکریپت NPM، GitHub در حال اضافه کردن نشانه‌های دسترسی گرانول برای فعال کردن مجوزهای دقیق برای حساب‌های NPM است و قابلیت کاوشگر کد NPM خود را برای کاربران رایگان می‌کند.< /p>

GitHub در دسامبر ۶ توضیح داد که اعتبارنامه های سرقت شده یکی از دلایل اصلی نقض داده ها هستند. برای کمک به نگهبانان NPM در مدیریت بهتر قرار گرفتن در معرض خطر، GitHub یک نوع توکن دسترسی دانه بندی برای NPM معرفی می کند. توکن‌های دسترسی گرانول به نگهدارنده‌های بسته NPM اجازه می‌دهند تا بسته‌ها و محدوده‌هایی که یک توکن به آنها دسترسی دارد، به سازمان‌های خاص دسترسی می‌دهد، تاریخ انقضای توکن را تنظیم می‌کند، و دسترسی را بر اساس محدوده آدرس IP محدود می‌کند. کاربران همچنین می توانند دسترسی فقط خواندنی یا خواندن و نوشتن را انتخاب کنند. در یک حساب NPM می توان ۵۰ توکن دسترسی گرانول ایجاد کرد.

توکن‌های دسترسی گرانول همچنین به صاحبان سازمان NPM اجازه می‌دهند مدیریت سازمان را خودکار کنند. توکن ها را می توان برای مدیریت یک یا چند سازمان، عضو یا تیم ایجاد کرد.

توکن‌ها با دوره انقضا تا یک سال ارائه می‌شوند. GitHub می‌گوید کمتر از ۱۰ درصد از توکن‌ها در NPM به طور منظم استفاده می‌شوند، که باعث می‌شود بسیاری از توکن‌های NPM به‌طور غیرضروری غیرفعال شوند و احتمال به خطر افتادن یک توکن با عمر طولانی افزایش یابد. چرخش منظم نشانه‌ها و محدود کردن انقضای آنها به حداقل نیاز، تعداد بردارهای حمله را کاهش می‌دهد.

در همین حال، کاوشگر کد NPM، به توسعه دهندگان اجازه می دهد محتویات یک بسته به طور مستقیم از پورتال NPM. بنابراین بسته ها را می توان قبل از استفاده مورد بررسی قرار داد. کاوشگر کد که قبلاً یک ویژگی پولی بود، اکنون به صورت رایگان در دسترس عموم است و به روز شده است و ثبات و سرعت را بهبود می بخشد. GitHub گفت: کاوشگر کد تقریباً با تمام بسته‌های موجود در رجیستری NPM کار می‌کند.

GitHub که متعلق به مایکروسافت است، در سال ۲۰۲۰ NPM را تصاحب کرد. هر ماه بیش از ۲۰۰ میلیارد دانلود بسته NPM وجود دارد.