После новой волны фишинг-атак на сопровождающих, инцидентов с компрометацией популярных пакетов и появления червей, поражающих зависимости, в репозитории NPM решено реализовать дополнительные меры защиты:
- Двухфакторная аутентификация станет обязательной при локальной публикации пакетов.
- Использование одноразовых паролей (TOTP) для двухфакторной аутентификации будет объявлено устаревшим. Пользователи будут переведены на протокол FIDO U2F.
- Переход на гранулированные токены, время жизни которых ограничено 7 днями. Классические токены будут объявлены устаревшими и доступ с их помощью будет по умолчанию отключён.
- Применение механизма “Trusted Publishers”, основанного на использовании стандарта OpenID Connect (OIDC) и токенов аутентификации с ограниченным временем действия, которыми обмениваются внешние сервисы и каталог пакетов для подтверждения операции публикации пакета вместо использования традиционных паролей или постоянных токенов доступа к API.
Release.
Ссылка here.