GitHub 增强安全机制应对 Shai-Hulud 蠕虫病毒入侵
导读:为了应对 JavaScript 包管理器 npm 中发生的供应链攻击,GitHub 做出了一些更改,以提高安全性。
近期GitHub上,发生一系列针对Javascript的 npm 生态系统攻击,这是由一种名为 Shai-Hulud 的蠕虫引起的,该蠕虫会感染其他软件包并重新发布其恶意软件,从而传播到整个 npm 生态系统。
GitHub 在一篇官方博客中写道:“通过将自我复制与窃取多种类型机密(而不仅仅是 npm 令牌)的能力相结合,蠕虫病毒已经蔓延。如果 GitHub 和开源维护者不能及时采取行动,蠕虫可能会引发无休止的攻击。 ”
GitHub 最开始的回应比较简单,它从 npm 注册表中删除了 500 多个受感染的软件包,并阻止上传包含与恶意软件包相关的感染指标 (IoC) 的新软件包。
现在,该网站宣布即将对身份验证和发布选项进行更改,以降低令牌滥用和自我复制恶意软件的风险。它将要求本地发布采用双因素身份验证 (2FA),将粒度令牌的有效期缩短到 7 天,并使用受信任的发布者,从而进一步减少使用长期令牌或凭据进行软件包存储库身份验证。
GitHub 如此描述说:“当 npm 发布对可信发布的支持时,我们的意图是让这项新功能的采用率自然增长。然而,攻击者已经向我们表明,他们不会等待。我们强烈建议所有受支持的包管理器尽快采用可信发布。”
此外,为了进一步提高 npm 安全性,GitHub 将弃用旧式经典令牌,弃用基于时间的一次性密码 2FA,将发布访问权限设置为默认不允许使用令牌,并扩展可信发布的提供商。
考虑涉及的一些变化会扰乱现有的开发工作流程,GitHub 计划逐步推出变更,并将提供后续支持,其中包含每个变化的具体时间表以及文档、迁移指南和多个技术支持渠道。
GitHub 对此行动还表示道:
“真正的韧性需要软件行业每个人的积极参与与保持警惕。通过采用强大的安全实践,利用可用的工具链,并为这些集体努力做出贡献,我们相信可以共同为所有人们构建一个更加安全、更值得信赖的开源生态系统。”
作者:场长
本篇文章为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
评论
