BT

Nouveau Early adopter ou innovator ? InfoQ a travaillé sur de nouvelles fonctionnalités pour vous. En savoir plus

NPM livre de nouvelles fonctionnalités de sécurité

| par David Iffland Suivre 3 Abonnés , traduit par Nicolas Frankel Suivre 3 Abonnés le 10 oct. 2017. Durée de lecture estimée: 2 minutes |

Lors de la conférence interactive Node.js qui s'est tenue la semaine dernière à Vancouver, npm Inc. a annoncé le lancement de nouvelles fonctionnalités de sécurité visant à rendre le registre npm plus sécurisé contre les attaquants.

Compte tenu de son utilisation répandue et de la manière dont les développeurs JavaScript utilisent des paquets npm même dans des buts mineurs, la sécurité du registre est primordiale. Si un attaquant devait accéder aux informations d'identification d'un paquet largement référencé, les dommages pourraient se répandre.

Le nouvel outil de ligne de commande npm token offre de nouvelles façons de créer des jetons de manière plus sécurisée. La possibilité de limiter les jetons d'authentification devient particulièrement utile dans les situations où l'un d'eux est accidentellement divulgué. Par exemple :

 

npm token create —cidr=[10.0.0.1/32]

 

Cela créera un jeton qui ne peut être utilisé que pour une plage IP donnée. Dans une situation où un jeton est divulgué dans le contrôle des sources ou dans les journaux d'intégration continue, ce jeton ne sera utile que dans cette plage IP. Si un attaquant devait obtenir le jeton, il y aurait des limites à son périmètre d'utilisation.

Les jetons en lecture seule sont maintenant également disponibles :

 

npm token create —readonly

 

Un jeton créé de cette façon sera en mesure de lire le paquet, mais pas de le publier.

Une autre nouvelle fonctionnalité est de protéger un profil avec une authentification à deux facteurs (A2F). Les comptes peuvent être intégrés à des applications d'authentification existantes telles que Google Authenticator ; les SMS ne sont pas une option.

Lorsque l'A2F est activée en mode auth-and-writes, les opérations telles que la publication d'une nouvelle version ou le changement de tag "latest" nécessiteront un mot de passe unique de l'authentificateur. Voici une capture d'écran de ce à quoi ressemble le processus lors de l'activation d'A2F.

Actuellement, l'A2F est activée par profil. Cela signifie que si un paquet a plusieurs mainteneurs, chacun doit activer l'A2F. Dans un avenir proche, npm offrira la possibilité d'exiger l'A2F pour un paquet. En outre, les organisations utilisant des dépôts privés pourront activer l'A2F au niveau organisationnel.

Selon le CTO de npm, CJ Silverio, une partie de leur objectif est de s'assurer que le registre est aussi sécurisé que possible. Silverio indique : "Npm veut être si ennuyeux et fiable que vous pouvez utiliser npm plusieurs fois par jour" sans vous soucier de l'intégrité du registre.

Les développeurs peuvent utiliser les nouveaux outils CLI avec npm install -g npm@next.

Evaluer cet article

Pertinence
Style

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Se connecter à InfoQ pour interagir sur ce qui vous importe le plus.


Récupérer votre mot de passe

Follow

Suivre vos sujets et éditeurs favoris

Bref aperçu des points saillants de l'industrie et sur le site.

Like

More signal, less noise

Créez votre propre flux en choisissant les sujets que vous souhaitez lire et les éditeurs dont vous désirez suivre les nouvelles.

Notifications

Restez à jour

Paramétrez vos notifications et ne ratez pas le contenu qui vous importe

BT