Maintainers van de vijfhonderd populairste npm-packages in de npm Registry zijn vanaf nu verplicht om op hun account in te loggen met tweefactorauthenticatie (2FA). Dat heeft GitHub aangekondigd. In februari werd de maatregel al ingesteld voor de honderd populairste npm-packages. Met de maatregel wil GitHub, dat eigenaar van npm is, naar eigen zeggen de veiligheid van de npm registry vergroten.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de Registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen.
Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Dat geldt nu voor de top 500-packages. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers.
Verder zal GitHub voor alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com eind 2023 tweefactorauthenticatie (2FA) voor hun account verplichten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain.
"De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", liet Mike Hanley van GitHub begin deze maand weten. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.