GitHub ने बड़े आत्म-प्रवाहित npm समझौते के बाद npm प्रकाशन सुरक्षा को कड़ा किया

मुख्य अपडेट

GitHub ने एक योजना प्रकाशित की है ताकि npm प्रकाशन मॉडल को एक बड़े, आत्म-प्रवाहित आपूर्ति-श्रृंखला समझौते के सीधे उत्तर के रूप में मजबूत किया जा सके। इसमें वर्णित परिवर्तन स्थानीय प्रकाशनों के लिए दो-कारक प्रमाणीकरण की आवश्यकता होगी (संभवतः TOTP से FIDO में स्थानांतरित करना), पुरानी दीर्घकालिक टोकनों का अवमूल्यन करना, ग्रैन्युलर टोकनों के जीवनकाल को सीमित करना (लगभग सात दिनों तक), और विश्वसनीय प्रकाशन (OIDC-आधारित अल्पकालिक CI प्रकाशनों के साथ उत्पत्ति) को स्वचालित रिलीज़ के लिए अनुशंसित मार्ग बनाना। ये उपाय निकट भविष्य में आपातकालीन सुरक्षा प्रतिक्रिया के हिस्से के रूप में लागू किए जा रहे हैं। (github.blog)

यह क्यों महत्वपूर्ण है

यह हर JavaScript/Node टीम के लिए तुरंत कार्यान्वयन योग्य और महत्वपूर्ण है: निर्माण पाइपलाइनों को जो वर्तमान में NODE_AUTH_TOKEN या दीर्घकालिक प्रकाशन टोकनों पर निर्भर करती हैं, उन्हें विश्वसनीय प्रकाशन (OIDC) या अल्पकालिक ग्रैन्युलर टोकनों में स्थानांतरित करना होगा; पैकेज प्रकाशित करने वाले रखरखाव खातों को 2FA (और संभवतः FIDO हार्डवेयर/प्लेटफ़ॉर्म प्रमाणीकरण सेटअप) की आवश्यकता होगी और उन्हें टोकन रोटेशन और क्रेडेंशियल इन्वेंटरी की योजना बनानी चाहिए। व्यावहारिक रूप से, CI कार्यप्रवाहों को id-टोकन का अनुरोध करने, स्थायी प्रमाणीकरण पर्यावरण चर को हटाने, आवश्यकतानुसार npm CLI को अपग्रेड करने, उत्पत्ति सत्यापन का परीक्षण करने, और प्रकाशित पैकेजों और स्वचालन धावकों का ऑडिट करने के लिए अपडेट करने की अपेक्षा करें। इसका समग्र परिणाम प्रारंभ में उच्च परिचालन लागत (स्थानांतरित करने और परीक्षण करने का कार्य) होगा लेकिन आपूर्ति-श्रृंखला दुरुपयोग के लिए एक बहुत छोटा हमले का क्षेत्र और रिलीज़ के लिए मजबूत उत्पत्ति होगी — उन टीमों के लिए आवश्यक जो पैकेज प्रकाशित करती हैं या कई पारगमन निर्भरताओं का उपभोग करती हैं। (github.blog)

स्रोत

• Source