GitHub, yazılımı kullanmayı daha güvenli ve yönetilebilir hale getirmeyi amaçlayan npm’de (Düğüm Paket Yöneticisi) üç önemli iyileştirmenin genel kullanıma sunulduğunu duyurdu.
Özetle, yeni özellikler arasında daha akıcı bir oturum açma ve yayınlama deneyimi, Twitter ve GitHub hesaplarını npm’ye bağlama yeteneği ve yeni bir paket imza doğrulama sistemi yer alıyor.
Aynı zamanda GitHub, Mayıs 2022’de tanıtılan iki faktörlü kimlik doğrulama programının betadan çıkmaya ve tüm npm kullanıcılarının kullanımına sunulmaya hazır olduğunu duyurdu.
Npm platformu GitHub’ın bir yan kuruluşudur ve geliştiricilerin projeleri tarafından günde beş milyar paket indirmek için kullanılan JavaScript kodlayıcıları için bir paket yöneticisi ve depodur (kayıt defteri).
Yakın zamanda yüzlerce uygulamayı ve web sitesini etkileyen ve GitHub’ı güvenliği artırıcı bir plan geliştirmeye ve acilen uygulamaya zorlayan büyük ölçekli güvenlik olayları yaşadı.
npm’deki yeni özellikler
Yeni npm oturum açma ve yayınlama sistemi, kimlik doğrulamanın web tarayıcısı tarafından işlenmesine izin verir, böylece geçerli kimlik doğrulama belirteçleri aynı oturumda beş dakikaya kadar tutulabilir.
Bu değişiklik, geliştiricileri her eylemde yeni tek seferlik şifreler girmeye zorlayan 2FA sisteminin tanıtılmasıyla yaratılan sürtünmeyi azaltmak içindir.
GitHub ve Twitter hesaplarını npm’ye bağlamaya yönelik yeni seçenek, npm hesaplarının popüler yazılım yaratıcılarının kimliğine bürünmemeleri için güvenilirlik eklemeye ve bir kimlik doğrulama biçimi olarak hizmet etmeye yardımcı olmayı amaçlıyor.
Ayrıca, bu yeni sistem gerektiğinde hesap kurtarmaya yardımcı olacak, süreci daha güvenilir ve daha az hantal hale getirecek ve gelecekte daha fazla otomasyon için zemin hazırlayacaktır.
Son olarak, önceki çok adımlı, karmaşık PGP sürecinin yerini alan ve geliştiricilere npm paketlerinin imzasını doğrulamak için çok daha kolay bir yöntem sağlayan yeni bir imza denetleme sistemi var.
Kullanıcılar artık npm CLI’deki yeni “npm denetim imzaları” komutunu kullanarak paketlerin kaynağını yerel olarak doğrulayabilecektir.
Eş zamanlı olarak platform, tüm paketleri ECDSA (eliptik eğri kriptografisi) algoritması ile yeniden imzalar ve anahtar yönetimi için HSM’yi kullanarak güvenliği daha da artırır.
Önemli hesaplarda 2FA
npm kayıt defterini güvenceye almanın bir sonraki adımı, haftalık bir milyondan fazla indirme veya 500 bağımlı kişi içeren paketleri yöneten tüm hesaplarda iki faktörlü kimlik doğrulamasını uygulamaktır.
GitHub, bunun ancak hesap kurtarma işlemi ek kimlik doğrulama formlarıyla daha da iyileştirildikten sonra uygulanacağını söylüyor, bu nedenle bir sonraki adımın yanı sıra katı bir zaman çizelgesi sağlanmadı.