استفاده ۹ درصدی توسعه‌دهندگان npm از احراز هویت دو مرحله‌ای

بر اساس گزارش‌های منتشر شده، تنها ۹.۲۷% توسعه‌دهندگان کتابخانه‌های جاوا اسکریپت در npm برای محافظت از حساب‌هایشان از احراز هویت دو مرحله‌ای استفاده می‌کنند. این رقم به میزانی باورنکردنی پایین بوده و یک نگرانی بزرگ برای تیم امنیتی نرم‌افزار npm به شمار می‌آید.

بررسی‌های جدید تیم وب‌سایت npm نشان می‌دهد که تنها ۹.۲۷% توسعه‌دهندگان کتابخانه‌های جاوا اسکریپت برای محافظت از حساب‌های کاربری‌شان از احراز هویت دو مرحله‌ای استفاده می‌کنند.

Npm، مخفف مدیر بسته نود (Node Package Manager) یکی از سیستم‌های مدیریت بسته‌های برنامه‌نویسی در محیط جاوا اسکریپت است. Npm یک سرویس وب لیست محسوب می‌شود که کتابخانه‌های جاوا اسکریپت و ابزارهای خطر فرمان برای توسعه پروژه‌های مختلف، در محیط جاوا اسکریپت را ارائه می‌دهد که می‌توانند در محیط‌های دسکتاپ، موبایل، وب یا برنامه server-side مورد استفاده قرار گیرند.

در حال حاضر npm بزرگترین سرویس مدیریت بسته‌های جاوا اسکریپت و حتی بزرگترین مخزن بسته برای بقیه زبان‌های برنامه‌نویسی با بیش از ۳۵۰ هزار کتابخانه فهرست شده است. این امر npm را به یک هدف اصلی برای حملات زنجیره تامین تبدیل کرده است که در آن هکرها به حساب توسعه‌دهنده npm نفوذ می‌کنند تا کدهای مخرب را در کتابخانه‌های آن‌ها قرار دهند. محققان تاکنون شاهد چنین اتفاقاتی در سال‌های گذشته بوده‌اند.

تحقیقات دانشگاهی منتشر شده در سال گذشته نشان داده‌اند که اکثر بسته‌های npm در هم تنیده شده‌اند و حساب‌های هک شده توسعه‌دهندگان، به مهاجمان اجازه می‌دهد تا یک کد مخرب را به‌صورتی مخفی در بعضی از کتابخانه‌ها که از سوی نیمی از کل اکوسیستم npm به‌صورت معمول مورد استفاده قرار می‌گیرند، قرار دهند.

به همین ترتیب ، امن‌سازی حساب‌های دارندگان npm کتابخانه باید اولویت اصلی در پیش رو باشد. رقم ۹ درصد بسیار پایین بوده و تیم npm باید مانند شرکت موزیلا اقداماتی برای رهایی از این شرایط انجام دهد.

ماه گذشته، موزیلا اعلام کرد که با شروع ژانویه سال ۲۰۲۰، کلیه توسعه‌دهندگان افزونه‌های مرورگر Firefox باید احراز هویت دو مرحله‌ای را برای حساب‌های خود فعال کنند تا قادر به به‌روزرسانی افزونه‌های خود در آینده باشند.

 

 

توضیحات بیشتر در:

Only 9.27% of all npm developers use 2FA