🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O GitHub lançou novos controles para o npm para melhorar a segurança da cadeia de fornecimento de software, dando aos mantenedores a capacidade de aprovar explicitamente um lançamento antes que os pacotes se tornem disponíveis publicamente para instalação.
Chamado de publicação encenada, o recurso agora está disponível para todos no npm. Ele exige que um mantenedor humano passe por um desafio de autenticação de dois fatores (2FA) para aprovar um pacote antes que ele seja enviado ao npmjs[.]com.
“Em vez de uma publicação direta que disponibiliza imediatamente uma versão do pacote aos consumidores, o tarball pré-construído é carregado em uma fila de estágio onde um mantenedor deve aprová-lo explicitamente antes de se tornar instalável”, disse o GitHub.
A subsidiária da Microsoft disse que a mudança garante “prova de presença” para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos e publicação confiável com autenticação OpenID Connect (OIDC).
Antes de usar a publicação faseada, os mantenedores de pacotes devem atender aos seguintes critérios -
Ter acesso de publicação ao pacote
O pacote já existe no registro npm, o que significa que um pacote totalmente novo não pode ser testado
2FA está habilitado para a conta
Os desenvolvedores podem usar o comando “npm stagePublish” do diretório raiz do pacote para enviá-lo para uma área de teste. Para usar este comando, é essencial atualizar para npm CLI 11.15.0 ou mais recente. Para proteção ideal, o GitHub recomenda que a publicação preparada seja combinada com a publicação confiável usando OIDC.
Uma segunda atualização focada no npm está relacionada à introdução de três novos sinalizadores de origem de instalação junto com o sinalizador -allow-git existente -
--allow-file: Controla instalações a partir de caminhos de arquivos locais e tarballs locais
--allow-remote: Controla instalações de URLs remotos, incluindo tarballs https
--allow-directory: Controla instalações de diretórios locais
Os sinalizadores permitem que os desenvolvedores “apliquem a mesma abordagem de lista de permissões explícita a todas as fontes de instalação que não sejam de registro”, disse o GitHub.
O desenvolvimento ocorre em meio a um aumento maciço de ataques à cadeia de fornecimento de software direcionados a ecossistemas de código aberto nos últimos meses, com um grupo cibercriminoso conhecido como TeamPCP envolvido no envenenamento de pacotes populares em uma escala sem precedentes através de um ciclo autoperpetuado de comprometimentos.
Chamado de publicação encenada, o recurso agora está disponível para todos no npm. Ele exige que um mantenedor humano passe por um desafio de autenticação de dois fatores (2FA) para aprovar um pacote antes que ele seja enviado ao npmjs[.]com.
“Em vez de uma publicação direta que disponibiliza imediatamente uma versão do pacote aos consumidores, o tarball pré-construído é carregado em uma fila de estágio onde um mantenedor deve aprová-lo explicitamente antes de se tornar instalável”, disse o GitHub.
A subsidiária da Microsoft disse que a mudança garante “prova de presença” para cada publicação, incluindo aquelas provenientes de fluxos de trabalho CI/CD não interativos e publicação confiável com autenticação OpenID Connect (OIDC).
Antes de usar a publicação faseada, os mantenedores de pacotes devem atender aos seguintes critérios -
Ter acesso de publicação ao pacote
O pacote já existe no registro npm, o que significa que um pacote totalmente novo não pode ser testado
2FA está habilitado para a conta
Os desenvolvedores podem usar o comando “npm stagePublish” do diretório raiz do pacote para enviá-lo para uma área de teste. Para usar este comando, é essencial atualizar para npm CLI 11.15.0 ou mais recente. Para proteção ideal, o GitHub recomenda que a publicação preparada seja combinada com a publicação confiável usando OIDC.
Uma segunda atualização focada no npm está relacionada à introdução de três novos sinalizadores de origem de instalação junto com o sinalizador -allow-git existente -
--allow-file: Controla instalações a partir de caminhos de arquivos locais e tarballs locais
--allow-remote: Controla instalações de URLs remotos, incluindo tarballs https
--allow-directory: Controla instalações de diretórios locais
Os sinalizadores permitem que os desenvolvedores “apliquem a mesma abordagem de lista de permissões explícita a todas as fontes de instalação que não sejam de registro”, disse o GitHub.
O desenvolvimento ocorre em meio a um aumento maciço de ataques à cadeia de fornecimento de software direcionados a ecossistemas de código aberto nos últimos meses, com um grupo cibercriminoso conhecido como TeamPCP envolvido no envenenamento de pacotes populares em uma escala sem precedentes através de um ciclo autoperpetuado de comprometimentos.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #npm #adiciona #controles #de #publicação #e #instalação #de #pacotes #controlados #por #2fa #contra #ataques #à #cadeia #de #suprimentos
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário