Attacker mot mjukvaruleveranskedjan har blivit ett av de största hoten mot utvecklare, och npm förbereder nu omfattande förändringar för att minska riskerna. GitHub har presenterat nya säkerhetskontroller för npm som begränsar automatiska installationsbeteenden och kräver att utvecklare uttryckligen godkänner åtgärder som angripare ofta utnyttjar.
Förändringarna utgör en av de mest betydande uppdateringarna av npm:s säkerhetsmodell på flera år och kan påverka utvecklingsprocesser i hela mjukvarubranschen.
Automatisk tillit minskar
Den kommande versionen npm v12 introducerar nya begränsningar som ska förhindra att potentiellt farliga åtgärder körs automatiskt under paketinstallationer.
Utvecklare kommer att behöva godkänna installationsskript, Git-baserade beroenden och paket som använder externa URL:er innan npm kör dem. I dagens modell kan angripare ibland missbruka dessa funktioner för att köra skadlig kod under installationsprocessen.
Genom att införa ytterligare godkännandesteg vill GitHub minska möjligheterna för hotaktörer att kompromettera utvecklarmiljöer genom skadliga paket.
Hoten mot leveranskedjan fortsätter att utvecklas
Open source-arkiv har blivit allt mer attraktiva mål för cyberkriminella. Ett enda komprometterat paket kan påverka tusentals applikationer och organisationer som är beroende av det.
Angripare riktar ofta in sig på mjukvaruleveranskedjan eftersom utvecklare vanligtvis litar på paket som verkar legitima. När skadlig kod väl tar sig in i ett betrott beroende kan den snabbt spridas till utvecklingsmiljöer och produktionssystem.
Flera incidenter inom open source-ekosystemet har visat hur snabbt angripare kan använda komprometterade paket för att stjäla inloggningsuppgifter, sprida skadlig kod och få åtkomst till känsliga system.
Den växande omfattningen av dessa attacker har ökat pressen på plattformsoperatörer att stärka sina säkerhetskontroller.
Utvecklare kan behöva anpassa sina arbetsflöden
De nya skyddsmekanismerna kommer att förbättra säkerheten, men de kan också innebära fler steg i utvecklingsprocessen.
Många organisationer använder installationsskript och externa beroenden som en naturlig del av sina bygg- och distributionsprocesser. Utvecklingsteam behöver därför granska sina arbetsflöden och avgöra när manuella godkännanden krävs enligt den nya modellen.
GitHub har redan börjat informera utvecklare om de kommande förändringarna så att organisationer får tid att förbereda sig inför lanseringen av npm v12.
Även om övergången kan skapa viss kortsiktig friktion anser många säkerhetsexperter att striktare godkännandekrav är en nödvändig kompromiss.
Säkerhet prioriteras framför bekvämlighet
Under många år prioriterade pakethanterare snabbhet och användarvänlighet. Den strategin bidrog till att påskynda mjukvaruutvecklingen, men den skapade också möjligheter för angripare att missbruka betrodda installationsprocesser.
Förändringarna i npm speglar en bredare utveckling inom teknikbranschen. Programvaruleverantörer väljer allt oftare säkra standardinställningar som kräver att användare aktivt godkänner åtgärder med högre risk.
I takt med att attacker mot mjukvaruleveranskedjan blir mer avancerade betraktar många organisationer dessa skyddsåtgärder som nödvändiga snarare än valfria.
Slutsats
De kommande säkerhetsförändringarna i npm markerar ett betydande skifte i hur paketinstallationer kommer att fungera för utvecklare. Genom att kräva uttryckligt godkännande för åtgärder som angripare ofta utnyttjar minskar GitHub den automatiska tilliten inom npm-ekosystemet och gör attacker mot mjukvaruleveranskedjan svårare att genomföra. Utvecklare kan behöva anpassa vissa arbetsflöden, men förändringarna utgör ett viktigt steg mot bättre säkerhet i ett av världens mest använda programvaruarkiv.
0 svar till ”npm-säkerhetsändringar riktar in sig på risker i mjukvaruleveranskedjan”