در پاسخ به دو حادثه امنیتی اخیر، اجبار برای نگهبانان و سرپرستان بسته های برتر در رجیستری جاوا اسکریپت اعمال می شود.
با توجه به دو حادثه امنیتی اخیر که بر رجیستری محبوب NPM برای بستههای جاوا اسکریپت تأثیر میگذارد، GitHub به ۲FA (تأیید هویت دو مرحلهای) برای نگهبانان و سرپرستان بستههای محبوب در NPM نیاز دارد.
خطمشی ۲FA، با هدف محافظت در برابر تصاحب حسابها، با مجموعهای از بستههای برتر در سه ماهه اول سال ۲۰۲۲ اجرا میشود، GitHub در بولتن منتشر شده در ۱۵ نوامبر گفت. GitHub پس از خرید NPM در سال ۲۰۲۰، سرپرست رجیستری شد. /a>.
GitHub به صورت دورهای حوادثی را در رجیستری مشاهده میکند که در آن حسابهای NPM توسط عوامل مخرب در معرض خطر قرار میگیرند و سپس برای درج کدهای مخرب در بستههای محبوبی که حسابها دسترسی دارند، استفاده میشود. GitHub به دو مورد اشاره کرد که باعث امنیت شدیدتر شده است:
- در ۲۶ اکتبر، GitHub مشکلی را پیدا کرد که ناشی از نگهداری معمول یک سرویس NPM در دسترس عموم بود. در طول نگهداری در پایگاه داده ای که یک کپی NPM عمومی را تامین می کند، رکوردهایی ایجاد شد که می توانست نام بسته های خصوصی را در معرض دید قرار دهد. این به طور خلاصه به مصرف کنندگان ماکت اجازه می دهد تا به طور بالقوه نام بسته های خصوصی را به دلیل سوابق منتشر شده در فید تغییرات عمومی شناسایی کنند. هیچ اطلاعات دیگری، از جمله محتوای بسته های خصوصی، در هیچ زمانی قابل دسترسی نبود. نام بستهها در قالب
@owner/package
برای بستههای خصوصی ایجاد شده قبل از ۲۰ اکتبر، برای مدتی بین ۲۱ اکتبر و ۲۹ اکتبر، زمانی که کار بر روی رفع مشکل و تعیین محدوده قرار گرفتن در معرض شروع شد، افشا شد. . تمام رکوردهای حاوی نام بسته های خصوصی در این تاریخ از سرویسreplicate.npmjs.com
حذف شدند. تغییراتی برای جلوگیری از تکرار مشکل ایجاد شده است. - در ۲ نوامبر، GitHub گزارشی از یک آسیبپذیری دریافت کرد که به مهاجم اجازه میدهد نسخههای جدید هر بسته NPM را با استفاده از یک حساب کاربری بدون مجوز مناسب منتشر کند. این آسیبپذیری ظرف شش ساعت پس از دریافت گزارش اصلاح شد.
پست های مرتبط
GitHub برای برخی از کاربران رجیستری NPM به ۲FA نیاز دارد
GitHub برای برخی از کاربران رجیستری NPM به ۲FA نیاز دارد
GitHub برای برخی از کاربران رجیستری NPM به ۲FA نیاز دارد