Popüler JavaScript paket yöneticisi NPM’yi kullanan geliştiriciler artık Twitter ve GitHub hesaplarını kurtarma yöntemi olarak yazılıma bağlayabilecekler.
Hareket, Salı günü, gelişmiş güvenliği GitHub’a ait paket yöneticisi için kullanılabilirlikle birleştirmeyi amaçlayan bir dizi başka özellikle birlikte duyuruldu.
İçinde Blog yazısıGitHub, değişikliklerin kullanıcıların hesaplarını güvenli hale getirmesini kolaylaştıracağını ve aynı zamanda kullanıcıların külfetli bulduğu bazı güvenlik özelliklerini kolaylaştıracağını söyledi.
GitHub ürün yöneticileri Myles Borins ve Monish Mohan, “JavaScript topluluğu npm’den günde 5 milyardan fazla paket indiriyor ve GitHub’da geliştiricilerin bunu güvenle yapabilmelerinin ne kadar önemli olduğunun farkındayız” diye yazdı. “Npm kayıt defterinin görevlileri olarak, geliştirici güvenini ve kayıt defterinin kendisinin genel güvenliğini artıran iyileştirmelere yatırım yapmaya devam etmemiz önemlidir.”
Bir kimlik doğrulama yöntemi olarak Twitter ve GitHub hesaplarını bağlayabilmenin yanı sıra GitHub, NPM’de oturum açma ve paket yayınlama için iki faktörlü kimlik doğrulama (2FA) kullanımının daha kolay hale getirileceğini duyurdu.
Blog gönderisine göre, NPM daha önce gelişmiş 2FA girişlerinin kullanımını denedi halka açık bir beta sürümünde, ancak topluluktan gelen geri bildirimlerden sonra, daha kullanıcı dostu olması için belirli özelliklerin değiştirilmesi gerektiğine karar verdi. Bu, başarılı bir şekilde kimlik doğrulaması yapan kullanıcıların kısa bir süre için 2FA istemlerini devre dışı bırakabilmeleri için bir “beni 5 dakika hatırla” seçeneğinin eklenmesini içeriyordu.
Borins ve Mohan, “2FA’nın benimsenmesiyle hesap güvenliği önemli ölçüde iyileştirildi, ancak deneyim çok fazla sürtüşme eklerse, müşterilerin bunu benimsemesini bekleyemeyiz,” diye yazdı Borins ve Mohan. “Yeni 2FA deneyimimizin ilk kullanıcıları, npm CLI ile oturum açma ve yayınlama süreci hakkında geri bildirim paylaştı ve iyileştirme için yer olduğunu fark ettik.”
Gönderi, iyileştirilmiş güvenlik özelliklerinin 26 Temmuz’da yayınlanan NPM 8.15.0’da kullanıma sunulduğunu söyledi.
JavaScript programlama dili için açık kaynaklı yazılım ekosisteminin temel bir parçası olan NPM, yıllar boyunca bir dizi kötü niyetli aktör tarafından hedef alındı. Ana stratejilerden biri, saldırganların paketlerin kontrolünü ele geçirmesi olmuştur. paket yayıncılarına kayıtlı süresi dolmuş alan adlarını satın alma ve bunları paket için parola sıfırlama e-postalarını almak için kullanılabilecek e-posta hesaplarını kurmak için kullanmak. Bunun ışığında, NPM hesaplarına giriş yapılırken 2FA kullanımının arttırılması, büyük güvenlik iyileştirmeleri yaratmaktadır.
NPM’nin ana şirketi GitHub da daha büyük kod barındırma platformunda güvenliği artırmak için çalışıyor: bu yılın başlarında şirket, koda katkıda bulunan tüm kullanıcıların 2023’ün sonuna kadar bir tür 2FA’yı etkinleştirmesi gerektiğini duyurdu.