به‌روزرسانی

استفاده ۹ درصدی توسعه‌دهندگان npm از احراز هویت دو مرحله‌ای

بر اساس گزارش‌های منتشر شده، تنها ۹.۲۷% توسعه‌دهندگان کتابخانه‌های جاوا اسکریپت در npm برای محافظت از حساب‌هایشان از احراز هویت دو مرحله‌ای استفاده می‌کنند. این رقم به میزانی باورنکردنی پایین بوده و یک نگرانی بزرگ برای تیم امنیتی نرم‌افزار npm به شمار می‌آید.

استفاده ۹ درصدی توسعه‌دهندگان npm از احراز هویت دو مرحله‌ای

بررسی‌های جدید تیم وب‌سایت npm نشان می‌دهد که تنها ۹.۲۷% توسعه‌دهندگان کتابخانه‌های جاوا اسکریپت برای محافظت از حساب‌های کاربری‌شان از احراز هویت دو مرحله‌ای استفاده می‌کنند.

Npm، مخفف مدیر بسته نود (Node Package Manager) یکی از سیستم‌های مدیریت بسته‌های برنامه‌نویسی در محیط جاوا اسکریپت است. Npm یک سرویس وب لیست محسوب می‌شود که کتابخانه‌های جاوا اسکریپت و ابزارهای خطر فرمان برای توسعه پروژه‌های مختلف، در محیط جاوا اسکریپت را ارائه می‌دهد که می‌توانند در محیط‌های دسکتاپ، موبایل، وب یا برنامه server-side مورد استفاده قرار گیرند.

در حال حاضر npm بزرگترین سرویس مدیریت بسته‌های جاوا اسکریپت و حتی بزرگترین مخزن بسته برای بقیه زبان‌های برنامه‌نویسی با بیش از ۳۵۰ هزار کتابخانه فهرست شده است. این امر npm را به یک هدف اصلی برای حملات زنجیره تامین تبدیل کرده است که در آن هکرها به حساب توسعه‌دهنده npm نفوذ می‌کنند تا کدهای مخرب را در کتابخانه‌های آن‌ها قرار دهند. محققان تاکنون شاهد چنین اتفاقاتی در سال‌های گذشته بوده‌اند.

تحقیقات دانشگاهی منتشر شده در سال گذشته نشان داده‌اند که اکثر بسته‌های npm در هم تنیده شده‌اند و حساب‌های هک شده توسعه‌دهندگان، به مهاجمان اجازه می‌دهد تا یک کد مخرب را به‌صورتی مخفی در بعضی از کتابخانه‌ها که از سوی نیمی از کل اکوسیستم npm به‌صورت معمول مورد استفاده قرار می‌گیرند، قرار دهند.

به همین ترتیب ، امن‌سازی حساب‌های دارندگان npm کتابخانه باید اولویت اصلی در پیش رو باشد. رقم ۹ درصد بسیار پایین بوده و تیم npm باید مانند شرکت موزیلا اقداماتی برای رهایی از این شرایط انجام دهد.

ماه گذشته، موزیلا اعلام کرد که با شروع ژانویه سال ۲۰۲۰، کلیه توسعه‌دهندگان افزونه‌های مرورگر Firefox باید احراز هویت دو مرحله‌ای را برای حساب‌های خود فعال کنند تا قادر به به‌روزرسانی افزونه‌های خود در آینده باشند.

 

 

توضیحات بیشتر در:

Only 9.27% of all npm developers use 2FA

 

 

گروه خبر سرتفا
گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر بین‌المللی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.

آیا با قوانین شرایط استفاده از کلیه خدمات وب‌سایت سرتفا موافق هستید؟ بله ✔ خیر ✘ مطالعه !