GitHub រឹតបន្តឹងសន្តិសុខ npm ជាមួយនឹង 2FA ចាំបាច់ សញ្ញាចូលប្រើ

GitHub កំពុងណែនាំសំណុំនៃការការពារប្រឆាំងនឹងការវាយប្រហារតាមខ្សែសង្វាក់ផ្គត់ផ្គង់នៅលើវេទិកាដែលនាំឱ្យមានឧប្បត្តិហេតុទ្រង់ទ្រាយធំជាច្រើននាពេលថ្មីៗនេះ។

ការវាយប្រហារតាមអ៊ីនធឺណិតគួរឱ្យកត់សម្គាល់ដែលបានចាប់ផ្តើមពីការសម្របសម្រួលឃ្លាំង GitHub ហើយបន្ទាប់មកបានរីករាលដាលដល់ NPM រួមមានការវាយប្រហារ "s1ngularity" នៅចុងខែសីហា យុទ្ធនាការ "GhostAction" នៅដើមខែកញ្ញា និងយុទ្ធនាការរចនាប័ទ្មដង្កូវបានដាក់ឈ្មោះថា "Shai-Hulud" ពីសប្តាហ៍មុន។

ការវាយប្រហារបាននាំទៅដល់ការសម្របសម្រួលនៃគណនីរាប់ពាន់ និងឃ្លាំងឯកជន ការលួចទិន្នន័យរសើប និងការចំណាយលើការជួសជុលសំខាន់ៗ។

ទោះបីជា GitHub បានឆ្លើយតបយ៉ាងឆាប់រហ័សដើម្បីកាត់បន្ថយផលប៉ះពាល់នៃឧប្បត្តិហេតុទាំងនេះក៏ដោយ វេទិកាអ្នកអភិវឌ្ឍន៍បានទទួលស្គាល់ថាវិធានការសកម្មខ្លាំងជាងនឹងមានប្រសិទ្ធភាពជាង។

ដើម្បីកាត់បន្ថយហានិភ័យទាំងនេះ GitHub បានប្រកាសថាខ្លួននឹងអនុវត្តវិធានការខាងក្រោមជាបណ្តើរៗ៖

ទាមទារការផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) សម្រាប់ការបោះពុម្ពក្នុងស្រុក។

អនុវត្តថូខឹនជាគ្រាប់ជាមួយនឹងអាយុកាល 7 ថ្ងៃ។

ពង្រីក និងលើកទឹកចិត្តឱ្យមានការអនុម័តការបោះពុម្ពផ្សាយដែលគួរឱ្យទុកចិត្ត។

បដិសេធថូខឹនបុរាណ និង TOTP 2FA (ផ្ទេរទៅ 2FA ដែលមានមូលដ្ឋានលើ FIDO) ។

កាត់បន្ថយការផុតកំណត់នៃការបោះពុម្ពថូខឹន។

ការចូលប្រើការបោះពុម្ពលំនាំដើមដើម្បីមិនអនុញ្ញាតសញ្ញាសម្ងាត់។

លុបជម្រើសដើម្បីរំលង 2FA សម្រាប់ការបោះពុម្ពក្នុងស្រុក។

ការបោះពុម្ពផ្សាយដែលគួរឱ្យទុកចិត្តបានអនុម័តរួចហើយនៅទូទាំងប្រព័ន្ធអេកូជាច្រើនត្រូវបានលើកទឹកចិត្តយ៉ាងខ្លាំងព្រោះវាលុបបំបាត់តម្រូវការក្នុងការគ្រប់គ្រងនិមិត្តសញ្ញា API នៅក្នុងប្រព័ន្ធស្ថាបនា។

អ្នកថែទាំ NPM ត្រូវបានណែនាំឱ្យប្តូរទៅការបោះផ្សាយដែលជឿទុកចិត្តភ្លាមៗ ក៏ដូចជាដើម្បីអនុវត្ត 2FA សម្រាប់ការបោះពុម្ព និងការសរសេរ ហើយប្រើ WebAuth ជំនួសឱ្យពាក្យសម្ងាត់ប្រើតែមួយដង (TOTP) សម្រាប់ 2FA ។

វេទិកាបង្ហោះកូដ និងកិច្ចសហការនឹងដាក់ចេញនូវការផ្លាស់ប្តូរទាំងនេះបន្តិចម្តងៗ ហើយផ្តល់នូវឯកសារចាំបាច់ និងមគ្គុទ្ទេសក៍ការធ្វើចំណាកស្រុក ដើម្បីកាត់បន្ថយការរំខានដល់លំហូរការងារដែលមានស្រាប់។

សេចក្តីប្រកាសនេះក៏សង្កត់ធ្ងន់ថាសុវត្ថិភាពប្រព័ន្ធអេកូឡូស៊ីគឺជាកាតព្វកិច្ចរួម ហើយអ្នកអភិវឌ្ឍន៍ត្រូវបានគេរំពឹងថានឹងចាត់វិធានការដោយខ្លួនឯងដើម្បីកាត់បន្ថយហានិភ័យនៃខ្សែសង្វាក់ផ្គត់ផ្គង់ដោយទទួលយកជម្រើសសុវត្ថិភាពដែលប្រសើរជាងដែលមាននៅលើវេទិកា។

Ruby Central ក៏បានប្រកាសពីអភិបាលកិច្ចកាន់តែតឹងរ៉ឹងរបស់អ្នកគ្រប់គ្រងកញ្ចប់ RubyGems ដើម្បីបង្កើនការការពារខ្សែសង្វាក់ផ្គត់ផ្គង់របស់ខ្លួន។

ប្រព័ន្ធ​អេកូឡូស៊ី​នេះ​ក៏​បាន​រង​នូវ​បញ្ហា​ស្រដៀង​គ្នា​កាលពី​ពេល​ថ្មីៗ​នេះ​ដែរ ដូចជា​យុទ្ធនាការ​មួយ​ជាមួយ​ត្បូង Ruby ដ៏​អាក្រក់ 60 ដែល​ត្រូវ​បាន​ទាញយក​ចំនួន 275,000 ដង និង​មួយ​ទៀត​វាយ​បក​គម្រោង Fastlane សម្រាប់ Telegram។

រហូតទាល់តែគំរូអភិបាលកិច្ចថ្មី និងគោលនយោបាយមូលដ្ឋានត្រូវបានបញ្ចប់ មានតែបុគ្គលិក Ruby Central ប៉ុណ្ណោះដែលនឹងកាន់សិទ្ធិគ្រប់គ្រង។

សេចក្តីប្រកាសនេះសន្យាថានឹងផ្លាស់ប្តូរទៅជាគំរូដែលផ្តោតលើសហគមន៍ដែលមានតម្លាភាពជាងមុន។ សំណួរ និងចម្លើយដែលគ្រោងធ្វើនៅពេលក្រោយនៅថ្ងៃនេះ ត្រូវបានគេរំពឹងថានឹងជម្រះក្តីកង្វល់ដែលទាក់ទងនឹងសកម្មភាពភ្លាមៗ ដែលសមាជិកសហគមន៍ Ruby ជាច្រើនបានកំណត់ថាជាការកាន់កាប់ប្រេងឆៅ។