Github, которому принадлежит npm, репозиторий библиотек Javascript, запустил обязательную двухфакторную аутентификацию для владельцев и мейнтейнеров 100 самых популярных пакетов репозитория. С 1 февраля все мейнтейнеры таких пакетов разлогинены и должны установить второй фактор, прежде чем смогут сменить свой email или добавить новых мейнтейнеров в пакет.
В целом, это такая часть мероприятий по усилению безопасности пакетов — слишком часто популярные пакеты оказываются целью взлома, особенно учитывая масштабы вероятного распространения — ведь как правило речь идет о тысячах или десятках тысяч пакетов, включающих популярные пакеты в качестве зависимостей.
Кстати, уже сегодня GitHub некоторое время выдавал 500-ю ошибку. Совпадение?
@blognot
https://therecord.media/npm-enrolls-top-100-package-maintainers-into-mandatory-2fa/
В целом, это такая часть мероприятий по усилению безопасности пакетов — слишком часто популярные пакеты оказываются целью взлома, особенно учитывая масштабы вероятного распространения — ведь как правило речь идет о тысячах или десятках тысяч пакетов, включающих популярные пакеты в качестве зависимостей.
Кстати, уже сегодня GitHub некоторое время выдавал 500-ю ошибку. Совпадение?
@blognot
https://therecord.media/npm-enrolls-top-100-package-maintainers-into-mandatory-2fa/
The Record
npm enrolls Top 100 package maintainers into mandatory 2FA
The administrators of the Node Package Manager (npm), the largest package repository of the JavaScript ecosystem, said they enrolled the maintainers of the Top 100 most popular libraries (based on the number of dependencies) into their mandatory two-factor…