Порція вечірніх цікавинок)

GitHub посилює вимоги автентифікації, запроваджує короткочасні токени та довірені публікації

Сервіс GitHub оголосив, що «найближчим часом» змінить параметри автентифікації та публікації у відповідь на нещодавню хвилю атак, спрямованих на екосистему npm.

Зміни стосуються усунення загроз, що виникають через зловживання токенами та шкідливим ПЗ з функцією самозапуску. У перелік заходів безпеки увійдуть: локальна публікація коду з вимогою обов’язкової двофакторної автентифікації (2FA), «гранульовані» токени з обмеженим терміном дії 7 днів та довірені публікації, які дозволяють безпечно публікувати npm-пакети безпосередньо з робочих процесів CI/CD за допомогою OpenID Connect (OIDC).

Довірена публікація, окрім усунення потреби в npm-токенах, встановлює криптографічну довіру шляхом автентифікації кожної публікації за допомогою короткочасних, специфічних для робочого процесу облікових даних, які не можна викрасти або використати повторно.

А ми з вами на сьогодні прощаємося 🙌
До зустрічі завтра!
Бережіть себе! 💙💛