The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В NPM включена обязательная двухфакторная аутентификация для сопровождающих значимых пакетов

03.11.2022 08:03

GitHub расширил применение в репозитории NPM обязательной двухфакторной аутентификации, которая отныне станет применяться к учётным записям разработчиков, сопровождающих пакеты, насчитывающие более 1 млн загрузок в неделю или используемые в качестве зависимости у более 500 пакетов. Ранее двухфакторная аутентификация была обязательной только для сопровождающих 500 самых популярных NPM-пакетов (по числу зависимых пакетов).

Сопровождающие значимых пакетов теперь смогут выполнить связанные с внесением изменений операции с репозиторием только после включения двухфакторной аутентификации, требующей подтверждения входа при помощи одноразовых паролей (TOTP), генерируемых такими приложениями, как Authy, Google Authenticator и FreeOTP, или аппаратных ключей и биометрических сканеров, поддерживающих протокол WebAuth.

  1. Главная ссылка к новости (https://github.blog/changelog/...)
  2. OpenNews: В NPM планируют использовать Sigstore для подтверждения подлинности пакетов
  3. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
  4. OpenNews: GitHub перейдёт на использование обязательной двухфакторной аутентификации
  5. OpenNews: RubyGems переходит на обязательную двухфакторную аутентификацию для популярных пакетов
  6. OpenNews: Внедрение двухфакторной аутентификации в PyPI привело к инциденту с удалением популярного пакета
Лицензия: CC-BY
Короткая ссылка: https://opennet.ru/58034-npm
Ключевые слова: npm, auth
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 08:25, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    опыт дряньбокса никого ничему не научил.

    Впрочем, навязыватели всем безопастности даром и чтоб никто не ушел, разумеется, необучаемы в принципе.

     
     
  • 2.15, Аноним (15), 11:03, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В этом вся суть современного IT от любителей смузи.
    Даже видя позавчерашнюю новость об инциденте в Dropbox, Github не стал пересматривать свои многолетние планы введения двухфакторной аутентификации! Позор!
    Любого разумного посетителя опеннет поражает глупость Github
     

  • 1.11, Аноним (11), 10:01, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >или используемые в качестве зависимости у более 500 пакетов.

    Создаем 500 мусорных пакетов
    Добавляем в зависимости пакет из npm
    У ментейнера начинают требовать 2FA, хотя оно ему нафиг не сдалось
    Повторяем для всех пакетов из npm
    JS макаки должны страдать

     
     
  • 2.12, Аноним (12), 10:04, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну си-макаки давеча уже показали мастер-класс, в который раз

    ты сам-то хоть программируешь или очередной мамкин эксперт? если первое то примеры кода давай, что б балаболом не быть

     
     
  • 3.17, Аноним (15), 11:07, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Все разумные посетители опеннет понимают как надо программировать гораздо лучше чем эти любители npm.
    Это ясно как божий день и никакие примеры кода не требуются.
     
     
  • 4.18, Аноним (12), 11:29, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Все разумные посетители опеннет

    дальше не читал

     
     
  • 5.20, Аноним (20), 12:53, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Пустое множество
     
  • 5.30, Дон Педро (?), 18:48, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А ведь было время, когда в комменты ходили за умными мыслями... Но посетители ЛОРа подросли и перенесли все г..но сюда.
     
  • 2.14, Аноним (14), 10:20, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Это не баг, а фича.

    >И все же я хочу спросить — кто написал четыре миллиона доносов? ((C) Довлатова)

    Майкрософту даже не нужно самим сильно мараться - всё можно сделать руками таких идейных, как вы, по их собственной инициативе (для которой старательно созданы условия).

     
  • 2.16, Аноним (15), 11:05, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так называемые "программисты на java" даже не поймут что произошло, когда их пакетики заблокируют.
     
  • 2.21, Аноним (21), 12:56, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ты уже написал для этого бота, товарищ? Или только идеей готов поделиться?
     
  • 2.29, pashev.ru (?), 18:34, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сделай.
     
  • 2.33, Аноним (15), 14:17, 08/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    по навыкам программирования так называемые здесь "JS макаки" превосходят местных клоунов в 100000 раз
     

  • 1.13, Пол Мики Накасоне (?), 10:16, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >биометрических сканеров, поддерживающих протокол WebAuth.

    Для целей осуществление Войны против программизма все теперь обязаны сдать биометрию.

     
  • 1.23, anonymous (??), 15:10, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    чо вам так не нравится 2fa?
     
     
  • 2.24, anonymous (??), 15:23, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Тем что 2FA может не оказаться не только у злоумышленника но и внезапно - у владельца, когда он его сломал/потерял/утопил.
     
     
  • 3.26, onanim (?), 16:38, 03/11/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    админы делятся на две категории - одни ещё не делают бэкапы, а другие уже делают.
     

  • 1.25, Аноним (25), 15:57, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    s/GitHub/Microsoft/
     
  • 1.27, Без аргументов (?), 16:59, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Монополия на закладки у Некрософта. Привет NPM, Cargo, GitHub
     
  • 1.31, Аноним (31), 19:25, 03/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь народ начнт валить на другие хостинги или бросать свои проекты чтобы GH понял идиотизм этой затеи.

    А так конечно макаки смешные - у них вся пакетная инфраструктура основана на том чтобы неконтролируемо тянуть по сети рандомный код от неизвестно кого, а тут вдруг 2FA.

     
  • 1.32, Реальный пацан (?), 18:33, 05/11/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень похоже на отжимание проектов Майкрософтом у разработчиков. Единственное адекватное решение, при появлении требований двухфакторки - удалять репу на Гитхабе и переносить на другой сервер. Толька так этот беспредел можно остановить.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру