GitHub vai reforçar segurança do NPM para prevenir ataques à cadeia de suprimentos

O GitHub divulgou novas medidas para aumentar a segurança do NPM e prevenir ataques à cadeia de suprimentos, que recentemente resultaram em incidentes de grande impacto, incluindo o caso Shai-Hulud, noticiado na semana passada.

Entre as mudanças previstas estão a exigência de autenticação em dois fatores para publicações locais, o uso obrigatório de tokens granulares com validade de sete dias, a expansão do modelo de publicação confiável, a descontinuação de tokens clássicos e do 2FA baseado em TOTP em favor do padrão FIDO, além da redução do tempo de expiração de tokens de publicação, bloqueio padrão do uso de tokens para publicação e remoção da opção de contornar o 2FA em publicações locais.

O modelo de publicação confiável elimina a necessidade de gerenciar tokens de API em sistemas de build. O GitHub recomenda que os mantenedores do NPM adotem imediatamente esse modelo e ativem o 2FA para publicação e escrita, utilizando WebAuth no lugar de senhas temporárias baseadas em TOTP.

As mudanças serão implementadas de forma gradual, acompanhadas de documentação e guias de migração para minimizar impactos nos fluxos de trabalho existentes.