GitHub ужесточает безопасность публикации npm после крупного саморазмножающегося компрометации npm

Основное обновление

GitHub опубликовал план по усилению модели публикации npm в ответ на крупную саморазмножающуюся компрометацию цепочки поставок. Описанные изменения потребуют двухфакторной аутентификации для локальных публикаций (миграция от TOTP к FIDO, где это возможно), устаревания устаревших долгоживущих токенов, ограничения сроков действия гранулярных токенов (примерно до семи дней) и сделают доверенную публикацию (основанную на OIDC краткоживущие CI публикации с происхождением) рекомендуемым путем для автоматизированных релизов. Эти меры будут внедрены в ближайшее время в рамках экстренной реакции на угрозы безопасности. (github.blog)

Почему это важно

Это немедленно применимо и существенно для каждой команды JavaScript/Node: конвейеры сборки, которые в настоящее время полагаются на NODE_AUTH_TOKEN или долгоживущие токены публикации, должны быть мигрированы на доверенную публикацию (OIDC) или на краткоживущие гранулярные токены; аккаунты поддерживающих, которые публикуют пакеты, будут нуждаться в 2FA (и, вероятно, настройках аппаратного обеспечения FIDO/Платформенного Аутентификатора) и должны планировать ротацию токенов и инвентаризацию учетных данных. На практике ожидайте обновления CI рабочих процессов для запроса id-токенов, удаления постоянных переменных окружения аутентификации, обновления npm CLI, где это необходимо, тестирования проверки происхождения и аудита опубликованных пакетов и автоматизированных исполнителей. Конечный результат будет заключаться в более высоких операционных затратах на начальном этапе (работа по миграции и тестированию конвейеров), но значительно меньшей поверхности атаки для злоупотреблений цепочкой поставок и более сильном происхождении для релизов — это необходимо для команд, которые публикуют пакеты или используют множество транзитивных зависимостей. (github.blog)

Источник

• Источник