人気のJavaScriptパッケージマネージャーであるNPMを使用する開発者は、回復方法としてTwitterアカウントとGitHubアカウントをソフトウェアに接続できるようになります。
この動きは火曜日に発表され、GitHubが所有するパッケージマネージャーのセキュリティ強化と使いやすさを組み合わせるためのその他のいくつかの機能が追加されました。
で ブログ投稿、GitHubは、この変更により、ユーザーが自分のアカウントを保護しやすくなると同時に、ユーザーが煩わしいと感じていたいくつかのセキュリティ機能が合理化されると述べました。
「JavaScriptコミュニティは1日にnpmから50億を超えるパッケージをダウンロードします。私たち、GitHubは、開発者が自信を持ってダウンロードできることがいかに重要であるかを認識しています」とGitHubのプロダクトマネージャーであるMylesBorinsとMonishMohanは書いています。 「npmレジストリの管理者として、開発者の信頼とレジストリ自体の全体的なセキュリティを向上させる改善に投資し続けることが重要です。」
:format(webp):no_upscale()/cdn.vox-cdn.com/uploads/chorus_asset/file/23902567/image2.png)
認証方法としてTwitterアカウントとGitHubアカウントを接続する機能に加えて、GitHubは、NPMでのログインとパッケージ公開に2要素認証(2FA)を使用することが容易になることも発表しました。
ブログ投稿によると、NPMは以前に 拡張2FAログインの使用を試行しました パブリックベータリリースで、しかしコミュニティからのフィードバックの後、よりユーザーフレンドリーにするために特定の機能を微調整する必要があると決定しました。 これには、「5分間記憶する」オプションの追加が含まれ、認証に成功したユーザーが2FAプロンプトを短期間無効にできるようになりました。
「アカウントのセキュリティは2FAを採用することで大幅に改善されますが、経験によって摩擦が大きくなりすぎると、顧客が2FAを採用することは期待できません」とBorinsとMohanは書いています。 「私たちの新しい2FAエクスペリエンスの初期の採用者は、npm CLIを使用したログインと公開のプロセスに関するフィードバックを共有し、改善の余地があることを認識しました。」
改善されたセキュリティ機能は、7月26日にリリースされたNPM8.15.0で利用可能になっていると投稿は述べています。
NPMは、JavaScriptプログラミング言語のオープンソースソフトウェアエコシステムの中核部分として、長年にわたって多くの悪意のある攻撃者の標的にされてきました。 主な戦略の1つは、攻撃者が次の方法でパッケージを制御することです。 パッケージ発行者に登録されている期限切れのドメインを購入する これらを使用して、パッケージのパスワードリセットメールを受信するために使用できるメールアカウントを設定します。 これに照らして、NPMアカウントにログインするときに2FAの使用を増やすことは、セキュリティを大幅に改善することになります。
NPMの親会社であるGitHubも、より大規模なコードホスティングプラットフォームのセキュリティの向上に取り組んでいます。今年の初め、同社は、コードを提供するすべてのユーザーが2023年末までに何らかの形式の2FAを有効にする必要があると発表しました。