按关键词阅读: 网络安全 GitHub 域名
【GitHub|Github 修复 npm 注册表漏洞,并对其推行 2FA 强认证登录】
出品|开源中国
作者|罗奇奇
近日 , Github 首席安全官Mike Hanley 宣布已修复 npm JavaScript 注册表的漏洞(npm 是 JavaScript 运行时环境Node.js 的默认包管理器) , 还透露未来将对 npm 包的维护者和管理者实行双因素身份验证 (2FA) 。
此前 , npm 的漏洞曾导致私有 npm 包的名称泄露 , 以及恶意攻击者可以在未经授权的情况下更新 npm 包 。 此次修复的 npm 漏洞主要也是包含这两方面的内容:
- GitHub 公开的 npm 服务日常维护 , 引发了npmjs 副本服务器上的npm 包名称数据泄漏 。
- 逻辑错误导致的越权漏洞:系统正确了验证用户身份 , 但接着就允许该用户进行超出权限的操作 。
目前 , 上述漏洞都已被修复 。 而出于对 npm 生态的保护 , Github 决定对 npm 平台的维护者和管理者强推基于WebAuthn的双因素身份验证 (2FA) , 以保护他们的账户安全 。 双因素身份验证2FA是基于时间、历史长度、实物(信用卡、手机、令牌、指纹)等自然变量 + 特定加密算法组合出的动态密码 , 而且隔一段时间刷新一次 , 不容易被获取和破解 , 相对传统的密码验证会更安全 。
Github 会在接下来几周发布关于推行 2FA 的详细计划 , 目前 2FA 还属于建议但不强制执行的阶段 , 预计从 npm 2022 年第一季度的第一批顶流软件包开始实行 。
稿源:(未知)
【傻大方】网址:/c/111cA9602021.html
标题:GitHub|Github 修复 npm 注册表漏洞,并对其推行 2FA 强认证登录