GitHub усиливает безопасность npm с помощью обязательной 2ФА и других мер - «Новости»

Разработчики GitHub сообщили, что работают над комплексом защитных мер, направленных против атак на цепочки поставок, которые недавно привели к нескольким крупным инцидентам на платформе.

За последние месяцы произошло сразу несколько массовых атак, начавшихся с компрометации репозиториев GitHub и распространившихся на npm. Так, в начале августа s1ngularity спровоцировала раскрытие данных 2180 учетных записей и затронула 7200 репозиториев, а в начале сентября вредоносная кампания GhostAction привела к массовой компрометации секретов, включая токены PyPI, npm, DockerHub, GitHub, API-ключи Cloudflare и AWS. А на прошлой неделе в npm и вовсе был обнаружен самораспространяющийся червь Shai-Hulud.

Хотя инженеры GitHub оперативно реагировали на эти инциденты и помогли минимизировать ущерб, они признают, что проактивные меры были бы эффективнее.

Представители GitHub сообщают, что уже работают над внедрением следующих мер, которые должны снизить риски:

• обязательная двухфакторная аутентификация (2ФА) для локальных публикаций;


• принудительное использование ­granular-токенов со сроком действия 7 дней;


• расширение и поощрение использования доверенных публикаций;


• отказ от классических токенов и TOTP 2FA (переход на 2ФА на базе FIDO);


• сокращение срока действия токенов публикации;


• доступ к публикации по умолчанию исключит использование токенов;


• удаление возможности обхода 2ФА для локальных публикаций.

Ожидается, что внедрять эти изменения будут постепенно, предоставляя всю необходимую документацию с гайдами по миграции, чтобы минимизировать нарушения существующих рабочих процессов.

Разработчики настоятельно рекомендуют использовать доверенные публикации, уже принятые в нескольких экосистемах, поскольку это избавляет от необходимости управлять API-токенами в системах сборки.

Мейнтейнерам npm советуют немедленно перейти на доверенные публикации, принудительно использовать 2ФА для публикации и записи, а также использовать WebAuth вместо TOTP для двухфакторной аутентификации.

В сообщении подчеркивается, что безопасность экосистемы — это коллективная обязанность, и разработчики должны самостоятельно принимать меры для снижения рисков в цепочках поставок, используя доступные защитные опции.

Стоит отметить, что на днях об усилении безопасности также объявили разработчики RubyGems. Эта экосистема тоже недавно пострадала от схожих проблем: в июне на платформе были обнаружены вредоносы, имитировавшие Fastlane и ворующие данные API Telegram, а в августе были найдены 60 вредоносных пакетов, которые скачали более 275 000 раз.

Сообщается, что пока не будет окончательно разработана новая модель управления и выработаны базовые принципы, админские права останутся только у команды Ruby Central. Разработчики обещают переход к более прозрачной модели, где сообщество будет больше участвовать в управлении. Однако пока многие участники Ruby-сообщества расценили эти действия как грубый захват власти.