拥有JavaScript包注册表npm的GitHub表示,正在加强安全措施以应对最近的攻击事件。
九月对npm来说是艰难的一个月,包维护者遭受钓鱼攻击,数百个包被窃取机密信息的恶意软件感染。
GitHub安全实验室负责人Xavier René-Corail表示,超过500个被攻陷的包已被移除,其他包也通过安全扫描被阻止上传。
René-Corail还描述了他希望能够增强安全性的变更。许多现有的身份验证方法将在"不久的将来"被移除,包括传统经典token和用于双因素认证(2FA)的一次性密码。Token的生命周期也将缩短,默认切换到可信发布和强制2FA的本地发布。
可信发布工作流程
可信发布最初由PyPI包索引采用,专为自动化工作流程设计。使用OpenID Connect,包存储库验证包来自可信来源并发放短期token,避免了可能被盗用的长期token的风险。目前npm可信发布仅支持GitHub Actions和GitLab CI/CD(持续集成和交付)管道。
其他包存储库也已添加对可信发布的支持,包括RubyGems、Rust的crates.io,以及.NET的NuGet——后者是微软昨天刚刚推出的。
一旦变更完全实施,npm包的发布选项将限制为带2FA的本地发布、生命周期为七天的细粒度token,以及可信发布。
据René-Corail称,团队本打算允许逐步采用可信发布,但表示"攻击者不会等待"。然而,由于破坏现有工作流程会造成干扰,这些变更将"逐步推出",强制执行变更的时间尚未公布。
问题之一是并非所有开发者都愿意使用GitHub Actions或GitLab CI/CD管道,René-Corail表示有计划扩展符合条件的提供商。文档显示,目前只有云托管的GitHub运行器支持可信发布,但将在未来版本中添加对自托管运行器的支持。每个包在任何时候只能配置一个可信发布者。
可信发布避免了长期token,但对某些人来说还不够。"作为流行项目(postcss)的维护者,我对OIDC可信发布者持怀疑态度,"Andrey Sitnik说。"对我来说(我使用2FA和YubiKey等硬件密钥发布),通过CI添加可信发布者增加了风险。postcss的node_modules中的任何恶意软件都可以提交和标记并推送到GitHub。"
另一位开发者表示"OIDC不是快速修复方案,它只是将授权委托给另一个平台",要求GitHub采取进一步措施,如"使需要多个审查成为可能,并使更改这些设置变得更困难,这样单个被攻陷的账户就更难恢复变更。"
Q&A
Q1:npm最近遇到了什么安全问题?
A:九月份npm遭遇了严重的安全危机,包括对包维护者的钓鱼攻击和数百个包被窃取机密信息的恶意软件感染。GitHub已经移除了超过500个被攻陷的包,并通过安全扫描阻止了其他恶意包的上传。
Q2:GitHub将采取哪些新的安全措施?
A:GitHub将移除许多现有的身份验证方法,包括传统经典token和双因素认证的一次性密码。新措施包括缩短token生命周期、默认使用可信发布和强制双因素认证的本地发布。npm包发布将限制为带2FA的本地发布、七天生命周期的细粒度token和可信发布三种方式。
Q3:可信发布是如何工作的?
A:可信发布使用OpenID Connect技术,包存储库验证包来自可信来源并发放短期token,避免长期token被盗用的风险。目前npm可信发布支持GitHub Actions和GitLab CI/CD管道,每个包只能配置一个可信发布者,未来将扩展支持更多提供商。
好文章,需要你的鼓励
Waymo近日发布软件更新,对旗下约4000辆自动驾驶车队实施召回,以帮助车辆规避积水道路。美国国家公路交通安全管理局(NHTSA)指出,此前Waymo机器人出租车在遭遇无法通行的积水路段时,仅减速而未完全停车。此次召回涵盖第五代和第六代自动驾驶系统车辆,共计3791辆。Waymo表示正在完善软件防护措施,并已限制车辆在极端天气及易发洪涝区域的运营。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
路面坑洞每年给城市造成数百万美元损失。车队管理公司Samsara推出名为"Ground Intelligence"的AI解决方案,通过已安装在数百万辆商用卡车上的摄像头,自动识别并追踪坑洞的位置与劣化程度。该系统以仪表盘形式呈现,可主动向城市管理者推送预警信息,将被动响应转变为主动规划。目前,芝加哥已成为其新客户。未来还将扩展至涂鸦、损坏护栏等城市基础设施监测。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。