پرش به محتوا
آخرین اخبار
هشدار دیتاداگ درباره کارزار شناسایی سازمان‌های GitHub npm ۱۲ با محدودیت‌های امنیتی جدید منتشر شد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد باج‌افزار GodDamn با درایور PoisonX آنتی‌ویروس‌ها را از کار می‌اندازد شبکه Lurking Lizard با بیش از ۲۳۰ دامنه جعلی برای فروش پراکسی مخرب شناسایی شد بدافزار RedWing برای سرقت حساب‌های بانکی اندروید اجاره داده می‌شود حمله GitLost مخازن خصوصی GitHub را تهدید می‌کند هشدار دیتاداگ درباره کارزار شناسایی سازمان‌های GitHub npm ۱۲ با محدودیت‌های امنیتی جدید منتشر شد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد باج‌افزار GodDamn با درایور PoisonX آنتی‌ویروس‌ها را از کار می‌اندازد شبکه Lurking Lizard با بیش از ۲۳۰ دامنه جعلی برای فروش پراکسی مخرب شناسایی شد بدافزار RedWing برای سرقت حساب‌های بانکی اندروید اجاره داده می‌شود حمله GitLost مخازن خصوصی GitHub را تهدید می‌کند
اخبار

npm ۱۲ با محدودیت‌های امنیتی جدید منتشر شد

تیر ۱۹, ۱۴۰۵ نوشتهٔ hraicp3

کمیته رکن چهارم – گیت‌هاب نسخه npm 12 را با غیرفعال بودن پیش‌فرض اسکریپت‌های نصب منتشر کرد و هم‌زمان از آغاز حذف تدریجی توکن‌هایی خبر داد که امکان دور زدن احراز هویت دومرحله‌ای (2FA) را فراهم می‌کردند.

به گزارش کمیته رکن چهارم، در نسخه جدید npm 12، اجرای خودکار اسکریپت‌های preinstall، install و postinstall، بارگیری وابستگی‌ها از مخازن Git و دریافت بسته‌ها از منابع راه دور به‌صورت پیش‌فرض غیرفعال شده و تنها با تأیید کاربر اجرا خواهند شد. گیت‌هاب اعلام کرد این تغییرات با هدف کاهش خطر حملات زنجیره تأمین نرم‌افزار (Supply Chain Attack) اعمال شده است.

این شرکت همچنین اعلام کرد از مرداد ۱۴۰۵، توکن‌های Granular Access Token (GAT) که برای دور زدن احراز هویت دومرحله‌ای پیکربندی شده‌اند، دیگر اجازه انجام عملیات حساس مانند تغییر رمز عبور، مدیریت توکن‌ها، تغییر تنظیمات امنیتی یا مدیریت بسته‌ها را نخواهند داشت. همچنین از دی ۱۴۰۵، این توکن‌ها دیگر قادر به انتشار مستقیم بسته‌ها نخواهند بود و توسعه‌دهندگان باید از Trusted Publishing مبتنی بر OIDC یا انتشار مرحله‌ای همراه با تأیید انسانی استفاده کنند.

هم‌زمان، نسخه ۱۱.۱۰ ابزار pnpm نیز قابلیت جدیدی برای مدیریت امن‌تر اطلاعات احراز هویت رجیستری معرفی کرده است؛ قابلیتی که با جلوگیری از سوءاستفاده از فایل‌های پیکربندی پروژه، خطر سرقت توکن‌های رجیستری را کاهش می‌دهد.

منبع: The Hacker News