Açık kaynaklı yazılım, günümüz teknolojisinin çoğunu güçlendirerek, dünyadaki geliştiricilerin araçlar, kütüphaneler ve uygulamalar oluşturmalarını ve paylaşmalarını sağlar.
Bununla birlikte, inovasyonu yönlendiren aynı açıklık da ciddi güvenlik zorlukları sunmaktadır. Saldırganlar, hesaplardan ödün vermek ve kötü amaçlı kod enjekte etmek için NPM gibi paket kayıtlarını düzenli olarak hedefler.
Yanıt olarak Github, daha güçlü kimlik doğrulama yöntemlerine, kısa ömürlü jetonlara ve güvenilir yayınlara odaklanarak NPM güvenliğinde önemli güncellemeler duyurdu.
Bu değişiklikler açık kaynak topluluğunu korumayı ve yazılım tedarik zincirini korumayı amaçlamaktadır.
Eylül 2025’in ortalarında, Shai-hulud saldırısı olarak bilinen kendini kopyalayan bir solucan çoklu popüler JavaScript paketine sızdı.
Bakım hesaplarını ele geçirerek, solucan, yaygın olarak kullanılan kütüphanelere zararlı yükleme sonrası komut dosyaları enjekte etti.
Bu komut dosyaları NPM jetonlarının ötesinde sırlar çalabilir ve işaretlenmeden bırakılırsa daha fazla saldırı yayabilir.
GitHub ve açık kaynak bakımcılar, kayıt defterinden 500’den fazla uzlaşmış paketi kaldırarak ve bilinen uzlaşma göstergelerini içeren yüklemeleri engelleyerek hızlı bir şekilde yanıt verdiler.
Bu çabalara rağmen, olay eski kimlik doğrulama ve yayıncılık uygulamalarının artık sofistike tedarik zinciri tehditlerine karşı savunmak için yeterli olmadığını ortaya koydu.
Yeni kimlik doğrulama önlemleri ve kısa ömürlü jetonlar
Gelecekteki ihlalleri önlemek için GitHub, tüm yerel paket yayıncılığı için iki faktörlü kimlik doğrulama (2FA) gerektirecektir.
Bakımcılar, geleneksel zaman tabanlı tek seferlik şifreler (TOTP) yerine FIDO tabanlı WebAuthn kullanmalıdır. Bu değişim daha zayıf 2FA yöntemlerini ortadan kaldıracak ve hesap devralmalarını çok daha zor hale getirecektir.
Buna ek olarak, NPM, maksimum yedi gün boyunca granüler erişim belirteçlerini benimseyecektir. Bu kısa ömürlü jetonlar, saldırganların çalınan kimlik bilgilerini kötüye kullanmaları için fırsat penceresini sınırlar.
Legacy Classic Jetons kullanımdan kaldırılacak ve yerel yayıncılık sırasında 2FA için herhangi bir bypass seçenekleri kaldırılacaktır.
Varsayılan olarak, yeni jetonlar, güvenilir yayın akışlarının veya zorla 2FA’nın kullanımını teşvik ederek yayın izinleri olmayacaktır.
Güvenilir Yayıncılık, yapı sistemleri içindeki jetonları yönetmeye güvenli bir alternatif sunar.
Başlangıçta PYPI tarafından Nisan 2023’te öncülük eden bu model, güvenilir iş akışlarını doğrulamak için kimlik sağlayıcılar ve OpenID Connect (OIDC) kullanıyor.
İlk sürümünden bu yana, Rubygems, Crates.io, NPM ve Nuget’e güvenilir yayıncılık eklendi. Github, ek sağlayıcılar için desteği genişletmeyi ve ekosistemler arasında uyumluluğu genişletmeyi planlıyor.
Güvenilir yayıncılığı benimseyerek, koruyucular API jetonlarını boru hatlarından kaldırabilir ve paket bültenlerine izin vermek için kimlik tabanlı kanıtlara güvenebilir. Bu yaklaşım, jeton sızıntısı ve yetkisiz yayıncılık riskini büyük ölçüde azaltır.
Github, bu güvenlik geliştirmelerinin mevcut iş akışlarında güncellemeler gerektirebileceğini kabul eder.
Geçişi hafifletmek için şirket, değişiklikleri yavaş yavaş sunacak ve net zaman çizelgeleri, kapsamlı belgeler, geçiş kılavuzları ve özel destek kanalları sağlayacaktır.
Bu arada, NPM koruyucular, güvenilir yayıncılık, hesap ve organizasyon ayarlarının tüm yazma işlemleri için 2FA gerektirmesini sağlayarak ve 2FA’yı WebAuthn ile yapılandırarak proaktif adımlar atabilir.
Yazılım tedarik zincirini güvence altına almak ortak bir sorumluluktur. Sağlam kimlik doğrulama yöntemlerini, kısa ömürlü jetonları ve güvenilir yayıncılığı benimseyerek, geliştiriciler daha güvenli bir açık kaynak ekosistemi oluşturmaya yardımcı olabilir.
Github’ın en son NPM güvenlik yatırımları, milyonlarca projeyi ve onlara bağlı küresel topluluğu korumaya yönelik kritik bir adımdır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.