Το GitHub ανακοίνωσε τη γενική διαθεσιμότητα τριών σημαντικών βελτιώσεων στο npm (Node Package Manager), με στόχο να κάνει τη χρήση του λογισμικού πιο ασφαλή και εύχρηστη.

Δείτε επίσης: Επίθεση σε εφοδιαστική αλυσίδα NPM επηρεάζει εκατοντάδες ιστοσελίδες

Συνοπτικά, οι νέες δυνατότητες περιλαμβάνουν μια πιο βελτιωμένη εμπειρία σύνδεσης και δημοσίευσης, τη δυνατότητα σύνδεσης λογαριασμών Twitter και GitHub με npm και ένα νέο σύστημα επαλήθευσης υπογραφής πακέτου.

Ταυτόχρονα, το GitHub ανακοίνωσε ότι το πρόγραμμα ελέγχου ταυτότητας δύο παραγόντων που παρουσιάστηκε τον Μάιο του 2022 είναι έτοιμο να βγει από την έκδοση beta και να γίνει διαθέσιμο σε όλους τους χρήστες npm.

Η πλατφόρμα npm είναι θυγατρική του GitHub και είναι ένας διαχειριστής πακέτων και ένα αποθετήριο για κωδικοποιητές JavaScript, που χρησιμοποιείται από έργα προγραμματιστών για λήψη πέντε δισεκατομμυρίων πακέτων καθημερινά.

Πρόσφατα υπέστη μεγάλης κλίμακας περιστατικά ασφαλείας που επηρέασαν εκατοντάδες εφαρμογές και ιστότοπους, αναγκάζοντας το GitHub να αναπτύξει και να εφαρμόσει επειγόντως ένα σχέδιο ενίσχυσης της ασφάλειας.

Το νέο σύστημα σύνδεσης και δημοσίευσης npm επιτρέπει τον χειρισμό του ελέγχου ταυτότητας από το πρόγραμμα περιήγησης ιστού, επομένως τα έγκυρα διακριτικά ελέγχου ταυτότητας μπορούν να διατηρηθούν στην ίδια περίοδο λειτουργίας για έως και πέντε λεπτά.

Δείτε ακόμα: Το SheetJS διέκοψε την υποστήριξη για το μητρώο npm

Αυτή η αλλαγή αποσκοπεί στη μείωση της τριβής που δημιουργήθηκε από την εισαγωγή του συστήματος 2FA, το οποίο ανάγκασε τους προγραμματιστές να εισάγουν νέους κωδικούς πρόσβασης μίας χρήσης σε κάθε ενέργεια.

Η νέα επιλογή σύνδεσης λογαριασμών GitHub και Twitter με npm στοχεύει να συμβάλει στην προσθήκη αξιοπιστίας και να χρησιμεύσει ως μια μορφή επαλήθευσης ταυτότητας, έτσι ώστε οι λογαριασμοί

npm να μην μπορούν να μιμούνται τους δημιουργούς δημοφιλούς λογισμικού.

Επιπλέον, αυτό το νέο σύστημα θα βοηθήσει στην ανάκτηση λογαριασμών όταν χρειάζεται, καθιστώντας τη διαδικασία πιο αξιόπιστη και λιγότερο επίπονη και θέτοντας το έδαφος για περισσότερη αυτοματοποίηση στο μέλλον.

Τέλος, υπάρχει ένα νέο σύστημα ελέγχου υπογραφών που αντικαθιστά την προηγούμενη, πολύπλοκη διαδικασία PGP πολλαπλών βημάτων, επιτρέποντας στους προγραμματιστές μια πολύ πιο εύκολη μέθοδο να επαληθεύσουν την υπογραφή των πακέτων npm.

Οι χρήστες θα μπορούν πλέον να επικυρώνουν την πηγή των πακέτων τοπικά χρησιμοποιώντας τη νέα εντολή “npm audit signatures” στο npm CLI.

Δείτε επίσης: GitHub: Έως το τέλος του 2023 θα επιβάλει το 2FA σε όλους τους code contributors

Ταυτόχρονα, η πλατφόρμα υπογράφει εκ νέου όλα τα πακέτα με τον αλγόριθμο ECDSA (ελλειπτική κρυπτογράφηση καμπύλης) και χρησιμοποιεί HSM για τη διαχείριση κλειδιών, ενισχύοντας περαιτέρω την ασφάλεια.

Το επόμενο βήμα για την ασφάλεια του μητρώου npm είναι η επιβολή ελέγχου ταυτότητας δύο παραγόντων σε όλους τους λογαριασμούς που διαχειρίζονται πακέτα με περισσότερες από ένα εκατομμύριο εβδομαδιαίες λήψεις ή 500 εξαρτώμενους.

Πηγή: Bleeping Computer