GitHub gaat alle beheerders van belangrijke en populaire npm-packages verplichten om in te loggen door middel van tweefactorauthenticatie (2FA) en voor de honderd populairste npm-packages is dit inmiddels het geval. Met de maatregel wil GitHub, dat eigenaar van npm is, de veiligheid van de npm registry vergroten.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via het npm registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen.
Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Voor de Top 100-packages is dat inmiddels gedaan. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers. Voor alle andere high-impact packages zal de 2FA-verplichting vanaf 1 maart gaan gelden.
Deze posting is gelocked. Reageren is niet meer mogelijk.