GitHub 收紧 npm 发布安全措施，防止大规模自传播 npm 事件

关键更新

GitHub 发布了一项计划，以加强 npm 发布模型，以直接应对大规模自传播的供应链安全事件。该计划描述的变化将要求本地发布进行双重身份验证（尽可能从 TOTP 迁移到 FIDO），弃用旧版长期有效令牌，限制细粒度令牌的有效期（约七天），并将可信发布（基于 OIDC 的短期 CI 发布及其来源）作为自动发布的推荐路径。这些措施将在短期内作为紧急安全响应的一部分推出。 (github.blog)

重要性

这对每个 JavaScript/Node 团队来说都是立即可行且重要的：当前依赖 NODE_AUTH_TOKEN 或长期发布令牌的构建管道必须迁移到可信发布（OIDC）或短期有效的细粒度令牌；发布包的维护者账户需要双重身份验证（并可能需要 FIDO 硬件/平台身份验证器设置），并应计划令牌轮换和凭证清单。实际上，预计需要更新 CI 工作流程以请求 id 令牌，移除持久的身份验证环境变量，升级 npm CLI（如有必要），测试来源验证，并审计已发布的包和自动化运行器。最终结果将是前期更高的运营成本（迁移和测试管道的工作），但对供应链滥用的攻击面将大大缩小，并且发布的来源将更强——这对发布包或消耗许多传递依赖的团队至关重要。 (github.blog)

来源

• 来源