GitHub强化npm安全措施应对钓鱼和恶意软件攻击

拥有JavaScript包注册表npm的GitHub表示，正在加强安全措施以应对最近的攻击事件。

九月对npm来说是艰难的一个月，包维护者遭受钓鱼攻击，数百个包被窃取机密信息的恶意软件感染。

GitHub安全实验室负责人Xavier René-Corail表示，超过500个被攻陷的包已被移除，其他包也通过安全扫描被阻止上传。

René-Corail还描述了他希望能够增强安全性的变更。许多现有的身份验证方法将在"不久的将来"被移除，包括传统经典token和用于双因素认证(2FA)的一次性密码。Token的生命周期也将缩短，默认切换到可信发布和强制2FA的本地发布。

可信发布工作流程

可信发布最初由PyPI包索引采用，专为自动化工作流程设计。使用OpenID Connect，包存储库验证包来自可信来源并发放短期token，避免了可能被盗用的长期token的风险。目前npm可信发布仅支持GitHub Actions和GitLab CI/CD(持续集成和交付)管道。

其他包存储库也已添加对可信发布的支持，包括RubyGems、Rust的crates.io，以及.NET的NuGet——后者是微软昨天刚刚推出的。

一旦变更完全实施，npm包的发布选项将限制为带2FA的本地发布、生命周期为七天的细粒度token，以及可信发布。

据René-Corail称，团队本打算允许逐步采用可信发布，但表示"攻击者不会等待"。然而，由于破坏现有工作流程会造成干扰，这些变更将"逐步推出"，强制执行变更的时间尚未公布。

问题之一是并非所有开发者都愿意使用GitHub Actions或GitLab CI/CD管道，René-Corail表示有计划扩展符合条件的提供商。文档显示，目前只有云托管的GitHub运行器支持可信发布，但将在未来版本中添加对自托管运行器的支持。每个包在任何时候只能配置一个可信发布者。

可信发布避免了长期token，但对某些人来说还不够。"作为流行项目(postcss)的维护者，我对OIDC可信发布者持怀疑态度，"Andrey Sitnik说。"对我来说(我使用2FA和YubiKey等硬件密钥发布)，通过CI添加可信发布者增加了风险。postcss的node_modules中的任何恶意软件都可以提交和标记并推送到GitHub。"

另一位开发者表示"OIDC不是快速修复方案，它只是将授权委托给另一个平台"，要求GitHub采取进一步措施，如"使需要多个审查成为可能，并使更改这些设置变得更困难，这样单个被攻陷的账户就更难恢复变更。"

Q&A

Q1：npm最近遇到了什么安全问题？

A：九月份npm遭遇了严重的安全危机，包括对包维护者的钓鱼攻击和数百个包被窃取机密信息的恶意软件感染。GitHub已经移除了超过500个被攻陷的包，并通过安全扫描阻止了其他恶意包的上传。

Q2：GitHub将采取哪些新的安全措施？

A：GitHub将移除许多现有的身份验证方法，包括传统经典token和双因素认证的一次性密码。新措施包括缩短token生命周期、默认使用可信发布和强制双因素认证的本地发布。npm包发布将限制为带2FA的本地发布、七天生命周期的细粒度token和可信发布三种方式。

Q3：可信发布是如何工作的？

A：可信发布使用OpenID Connect技术，包存储库验证包来自可信来源并发放短期token，避免长期token被盗用的风险。目前npm可信发布支持GitHub Actions和GitLab CI/CD管道，每个包只能配置一个可信发布者，未来将扩展支持更多提供商。