Github hat angesichts der zunehmenden Angriffe auf Open-Source-Ökosysteme einen umfassenden Plan vorgestellt, um die Sicherheit der npm-Supply-Chain zu erhöhen.
In den vergangenen Monaten zeigte sich, dass der Node Package Manager (npm) anfällig für Angriffe durch kompromittierte Maintainer-Konten ist. Ein besonders aufsehenerregender Fall war der Shai-Hulud-Wurm, der über gestohlene Zugangsdaten in npm eingeschleust wurde, Installationsskripte manipulieren und sich selbst replizieren konnte. Innerhalb kürzester Zeit wurden so Hunderte Pakete kompromittiert.
Github reagierte sofort, entfernte über 500 bösartige Pakete aus der Registry und blockierte weitere Uploads, die verdächtige Muster aufwiesen. Allerdings hat sich das Unternehmen nicht nur auf derartige Ad-hoc-Maßnahmen beschränkt, sondern auch eine Roadmap [1] entwickelt, die grundlegende Änderungen an npms Publishing-Prozess vorsieht.
Im Mittelpunkt steht die Einführung einer verpflichtenden Zwei-Faktor-Authentifizierung für alle, die Pakete lokal mit dem npm-CLI veröffentlichen. Bisher genügte es oft, ein einmal ausgestelltes Token zu besitzen, um beliebige Versionen hochladen zu können. Diese Tokens fungieren als dauerhafte Schlüssel und sind in der Regel in Konfigurationsdateien oder CI-Systemen gespeichert, was sie zu einem bevorzugten Ziel für Angreifer macht.
Künftig sollen Tokens allein nicht mehr ausreichen. Wer veröffentlichen will, muss zusätzlich einen zweiten Faktor einsetzen, zum Beispiel einen physischen Sicherheitsschlüssel oder eine moderne WebAuthn-Lösung, die kryptografische Schlüsselpaare direkt in ihrer Hardware erzeugt. Damit wird der bislang übliche Ansatz, zeitbasierte Einmalpasswörter (Time-Based One-Time Password, TOTP) über Authenticator-Apps zu nutzen, in den Hintergrund tre...
[...]
Linux-Magazin Online veröffentlicht alle Print-Artikel, die seit 2001 im Linux-Magazin erschienen sind. Damit steht Ihnen ein hochwertig bestücktes Archiv bis hin zu den Beiträgen der aktuellen Ausgabe online zur Verfügung. Die über 4.000 Artikel sind größtenteils kostenlos zugänglich, nur für Beiträge (als PDF) der jüngsten zehn Linux-Magazine ist eine kleine Gebühr fällig.






