GitHub : les principaux mainteneurs de packages npm devront passer à la 2FA

Les administrateurs du Node Package Manager (npm), le plus grand référentiel de packages de l'écosystème JavaScript, qui appartient à GitHub, viennent d'obliger les mainteneurs des 100 bibliothèques les plus populaires (en fonction du nombre de dépendances) à utiliser l'authentification à deux facteurs (2FA), note The Record. Les responsables des 400 packages suivants devraient eux aussi y passer un peu plus tard cette année.

« Les responsables qui n'ont pas activé la 2FA verront leurs sessions Web révoquées et devront configurer 2FA avant de pouvoir prendre des mesures spécifiques avec leurs comptes, telles que changer leur adresse e-mail ou ajouter de nouveaux responsables aux projets », précise l'équipe de sécurité GitHub sur son blog.

Cette décision représente la deuxième phase des efforts engagés par l'équipe npm pour sécuriser les comptes des développeurs, après que certains ont été piratés ces dernières années et utilisés pour déployer des logiciels malveillants dans des bibliothèques JavaScript légitimes.

La première phase, initiée fin 2021, repose sur une nouvelle fonctionnalité appelée « vérification de connexion améliorée » consistant à envoyer un code d'accès unique par e-mail à tous les propriétaires de packages npm lorsqu'ils se connectent à leurs comptes.

GitHub prévoit également la prise en charge de WebAuthn pour supporter les clés de sécurité.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !