GitHub verplicht 2FA voor maintainers van top 500 populairste npm-packages
Maintainers van de vijfhonderd populairste npm-packages in de npm Registry zijn vanaf nu verplicht om op hun account in te loggen met tweefactorauthenticatie (2FA). Dat heeft GitHub aangekondigd. In februari werd de maatregel al ingesteld voor de honderd populairste npm-packages. Met de maatregel wil GitHub, dat eigenaar van npm is, naar eigen zeggen de veiligheid van de npm registry vergroten.
Npm is de standaard package manager voor de JavaScript-omgeving Node.js en naar eigen zeggen het grootste softwarearchief ter wereld. Via de npm Registry biedt het een groot archief met openbare, besloten en commerciële packages. De afgelopen jaren verschenen geregeld malafide npm-packages in de Registry. In 2020 bleek dat meer dan negentig procent van npm-ontwikkelaars geen 2FA gebruikte om het eigen account te beveiligen.
Om alle "high-impact" npm-packages te beschermen moeten de maintainers en uitgevers van deze packages via 2FA gaan inloggen. Dat geldt nu voor de top 500-packages. Van maintainers die op dit moment geen 2FA gebruiken is de websessie ingetrokken. Ze zullen eerst 2FA moeten instellen voordat ze bepaalde acties met hun account kunnen uitvoeren, zoals het wijzigen van e-mailadressen en toevoegen van nieuwe maintainers.
GitHub.com
Verder zal GitHub voor alle ontwikkelaars die op de één of andere manier bijdragen aan code op GitHub.com eind 2023 tweefactorauthenticatie (2FA) voor hun account verplichten. Volgens GitHub zijn accounts van softwareontwikkelaars geregeld het doelwit van aanvallen en is het beveiligen van deze accounts de eerste en belangrijkste stap in het beschermen van de software supply chain.
"De meeste beveiligingsincidenten zijn niet het gevolg van exotische zeroday-aanvallen, maar eenvoudigere aanvallen zoals social engineering, wachtwoorddiefstal of -lekken en andere manieren waardoor aanvallers toegang tot accounts van slachtoffers krijgen en de middelen waar die toegang toe hebben", liet Mike Hanley van GitHub begin deze maand weten. Via gecompromitteerde accounts kunnen aanvallers code stelen of kwaadaardige aanpassingen aan code toevoegen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.