Разработчики GitHub сообщили, что работают над комплексом защитных мер, направленных против атак на цепочки поставок, которые недавно привели к нескольким крупным инцидентам на платформе. За последние месяцы произошло сразу несколько массовых атак, начавшихся с компрометации репозиториев GitHub и распространившихся на npm. Так, в начале августа s1ngularity спровоцировала раскрытие данных 2180 учетных записей и затронула 7200 репозиториев, а в начале сентября вредоносная кампания GhostAction привела к массовой компрометации секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS. А на прошлой неделе в npm и вовсе был обнаружен самораспространяющийся червь Shai-Hulud. Хотя инженеры GitHub оперативно реагировали на эти инциденты и помогли минимизировать ущерб, они признают, что проактивные меры были бы эффективнее. Представители GitHub сообщают, что уже работают над внедрением следующих мер, которые должны снизить риски: обязательная двухфакторная аутентификация (2ФА) для локальных публикаций; принудительное использование ­granular-токенов со сроком действия 7 дней; расширение и поощрение использования доверенных публикаций; отказ от классических токенов и TOTP 2FA (переход на 2ФА на базе FIDO); сокращение срока действия токенов публикации; доступ к публикации по умолчанию исключит использование токенов; удаление возможности обхода 2ФА для локальных публикаций. Ожидается, что внедрять эти изменения будут постепенно, предоставляя всю необходимую документацию с гайдами по миграции, чтобы минимизировать нарушения существующих рабочих процессов. Разработчики настоятельно рекомендуют использовать доверенные публикации, уже принятые в нескольких экосистемах, поскольку это избавляет от необходимости управлять API-токенами в системах сборки. Мейнтейнерам npm советуют немедленно перейти на доверенные публикации, принудительно использовать 2ФА для публикации и записи, а также использовать WebAuth вместо TOTP для двухфакторной аутентификации. В сообщении подчеркивается, что безопасность экосистемы — это коллективная обязанность, и разработчики должны самостоятельно принимать меры для снижения рисков в цепочках поставок, используя доступные защитные опции. Стоит отметить, что на днях об усилении безопасности также объявили разработчики RubyGems. Эта экосистема тоже недавно пострадала от схожих проблем: в июне на платформе были обнаружены вредоносы, имитировавшие Fastlane и ворующие данные API Telegram, а в августе были найдены 60 вредоносных пакетов, которые скачали более 275 000 раз. Сообщается, что пока не будет окончательно разработана новая модель управления и выработаны базовые принципы, админские права останутся только у команды Ruby Central. Разработчики обещают переход к более прозрачной модели, где сообщество будет больше участвовать в управлении. Однако пока многие участники Ruby-сообщества расценили эти действия как грубый захват власти.