GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация.
С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm.
Расширенная верификация не заменяет, а лишь дополняет ранее доступную опциональную двухфакторную аутентификацию, при которой требуется подтверждение при помощи одноразовых паролей (TOTP). При включении двухфакторной аутентификации расширенная верификация по email не применяется. Начиная с 1 февраля 2022 года начнётся процесс перевода на обязательную двухфакторную аутентификацию сопровождающих 100 самых популярных NPM-пакетов, имеющих наибольшее число зависимостей. После завершения миграции первой сотни, изменение будет распространено на 500 самых популярных по числу зависимостей NPM-пакетов.
Помимо доступной в настоящее время схемы двухфакторной аутентификации на основе приложений для генерации одноразовых паролей (Authy, Google Authenticator, FreeOTP, Authy, Google Authenticator и т.п.) в апреле 2022 года планируют добавить возможность использования аппаратных ключей и биометрических сканеров, для которых имеется поддержка протокола WebAuthn, а также возможность регистрации и управления различными дополнительными факторами аутентификации.
Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/2021-12-07...)
- OpenNews: Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- OpenNews: GitHub запрещает парольную аутентификацию при доступе к Git
- OpenNews: GitHub вводит новые требования для удалённого подключения к Git
- OpenNews: GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair
- OpenNews: GitHub опубликовал статистику за 2021 год
Похожие новости:
- GitHub опубликовал статистику за 2021 год
- Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
- В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
- В NPM-пакет UAParser.js, насчитывающий 8 млн загрузок в неделю, внедрено вредоносное ПО
- В репозитории NPM выявлены три пакета, выполняющих скрытый майнинг криптовалют
- GitHub заблокировал SSH-ключи, сгенерированные при помощи библиотеки keypair
- GitHub повторно заблокировал репозиторий проекта RE3
- GitHub добавил поддержку отслеживания уязвимостей в проектах на языке Rust
- Уязвимость в NPM, приводящая к перезаписи файлов в системе
- Уязвимость в NPM-пакете pac-resolver, насчитывающем 3 млн загрузок в неделю
Теги для поиска: #_npm, #_github
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:01
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
В связи с участившимися случаями захвата репозиториев крупных проектов и продвижения вредоносного кода через компрометацию учётных записей разработчиков, компания GitHub вводит повсеместную расширенную верификацию учётных записей. Отдельно для сопровождающих и администраторов 500 самых популярных NPM-пакетов в начале следующего года будет внедрена обязательная двухфакторная аутентификация. С 7 декабря 2021 года по 4 января 2022 года будет произведён перевод всех мэйнтейнеров, имеющих право публикации NPM-пакетов, но не использующих двухфакторную аутентификацию, на использование расширенной верификации учётных записей. Расширенная верификация подразумевает необходимость ввода одноразового кода, отправляемого на email при попытке входа на сайт npmjs.com или выполнения аутентифицируемой операции в утилите npm. Расширенная верификация не заменяет, а лишь дополняет ранее доступную опциональную двухфакторную аутентификацию, при которой требуется подтверждение при помощи одноразовых паролей (TOTP). При включении двухфакторной аутентификации расширенная верификация по email не применяется. Начиная с 1 февраля 2022 года начнётся процесс перевода на обязательную двухфакторную аутентификацию сопровождающих 100 самых популярных NPM-пакетов, имеющих наибольшее число зависимостей. После завершения миграции первой сотни, изменение будет распространено на 500 самых популярных по числу зависимостей NPM-пакетов. Помимо доступной в настоящее время схемы двухфакторной аутентификации на основе приложений для генерации одноразовых паролей (Authy, Google Authenticator, FreeOTP, Authy, Google Authenticator и т.п.) в апреле 2022 года планируют добавить возможность использования аппаратных ключей и биометрических сканеров, для которых имеется поддержка протокола WebAuthn, а также возможность регистрации и управления различными дополнительными факторами аутентификации. Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц. С учётом загрузки модулей по цепочке зависимостей, компрометация ненадёжных учётных записей могла поразить в сумме до 52% от всех модулей в NPM. =========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 07:01
Часовой пояс: UTC + 5