Les administrateurs du Node Package Manager (npm), le plus grand référentiel de packages de l'écosystème JavaScript, qui appartient à GitHub, viennent d'obliger les mainteneurs des 100 bibliothèques les plus populaires (en fonction du nombre de dépendances) à utiliser l'authentification à deux facteurs (2FA), note The Record. Les responsables des 400 packages suivants devraient eux aussi y passer un peu plus tard cette année.
« Les responsables qui n'ont pas activé la 2FA verront leurs sessions Web révoquées et devront configurer 2FA avant de pouvoir prendre des mesures spécifiques avec leurs comptes, telles que changer leur adresse e-mail ou ajouter de nouveaux responsables aux projets », précise l'équipe de sécurité GitHub sur son blog.
Cette décision représente la deuxième phase des efforts engagés par l'équipe npm pour sécuriser les comptes des développeurs, après que certains ont été piratés ces dernières années et utilisés pour déployer des logiciels malveillants dans des bibliothèques JavaScript légitimes.
La première phase, initiée fin 2021, repose sur une nouvelle fonctionnalité appelée « vérification de connexion améliorée » consistant à envoyer un code d'accès unique par e-mail à tous les propriétaires de packages npm lorsqu'ils se connectent à leurs comptes.
GitHub prévoit également la prise en charge de WebAuthn pour supporter les clés de sécurité.