گیت‌هاب قابلیت انتشار مرحله‌ای را برای افزایش امنیت npm فعال کرد

کمیته رکن چهارم – گیت‌هاب از مجموعه‌ای از کنترل‌های امنیتی جدید برای npm رونمایی کرده که هدف آن‌ها کاهش خطر حملات زنجیره تأمین نرم‌افزار و جلوگیری از انتشار بسته‌های مخرب در اکوسیستم متن‌باز است.

به گزارش کمیته رکن چهارم، مهم‌ترین قابلیت جدید با نام «انتشار مرحله‌ای» یا staged publishing معرفی شده که اکنون به‌صورت عمومی در npm در دسترس قرار دارد. این ویژگی باعث می‌شود بسته‌ها پیش از عمومی شدن و قابل نصب شدن، به‌طور صریح توسط یکی از نگهدارندگان پروژه تأیید شوند.

گیت‌هاب اعلام کرده در این روش، بسته به‌جای انتشار مستقیم، ابتدا به‌صورت یک فایل tarball در صف مرحله‌ای بارگذاری می‌شود و سپس نگهدارنده پروژه باید با استفاده از احراز هویت دومرحله‌ای (۲FA) آن را تأیید کند تا در npmjs.com منتشر شود. این شرکت تأکید کرده این فرآیند «اثبات حضور انسانی» را حتی در انتشارهای خودکار مبتنی بر CI/CD و OpenID Connect تضمین می‌کند.

برای استفاده از این قابلیت، فعال بودن احراز هویت دومرحله‌ای الزامی است و بسته نیز باید از قبل در رجیستری npm وجود داشته باشد. توسعه‌دهندگان می‌توانند با دستور npm stage publish و با استفاده از نسخه ۱۱٫۱۵٫۰ یا جدیدتر npm CLI بسته را وارد مرحله انتشار کنترل‌شده کنند.

گیت‌هاب همچنین سه پرچم امنیتی جدید معرفی کرده که امکان کنترل دقیق‌تر روی نصب بسته‌ها از منابع خارج از رجیستری npm را فراهم می‌کند. این گزینه‌ها شامل محدودسازی نصب از فایل‌های محلی، URLهای راه دور و دایرکتوری‌های محلی هستند و به توسعه‌دهندگان اجازه می‌دهند فقط منابع مجاز را در فرآیند نصب بپذیرند.

این تغییرات در شرایطی منتشر شده که حملات زنجیره تأمین نرم‌افزار علیه npm و پروژه‌های متن‌باز در ماه‌های اخیر به‌شدت افزایش یافته است. گروه‌هایی مانند TeamPCP با compromise کردن حساب توسعه‌دهندگان و انتشار نسخه‌های آلوده، صدها بسته محبوب را به بدافزارهای سرقت اطلاعات آلوده کرده‌اند.

پیش‌زمینه

اکوسیستم npm یکی از بزرگ‌ترین منابع توزیع کتابخانه‌های جاوااسکریپت در جهان محسوب می‌شود و میلیون‌ها پروژه نرم‌افزاری به آن وابسته‌اند. در سال‌های اخیر، مهاجمان سایبری بارها با سوءاستفاده از حساب توسعه‌دهندگان یا وابستگی‌های نرم‌افزاری، بدافزارهایی را از طریق بسته‌های npm منتشر کرده‌اند.

جمع‌بندی

معرفی قابلیت staged publishing و کنترل‌های امنیتی جدید نشان می‌دهد گیت‌هاب در تلاش است امنیت زنجیره تأمین نرم‌افزار را در npm تقویت کند. کارشناسان معتقدند با افزایش حملات علیه پروژه‌های متن‌باز، استفاده از احراز هویت چندمرحله‌ای و کنترل دقیق انتشار بسته‌ها به یک ضرورت امنیتی تبدیل شده است.