Paketverwaltung: npm führt neue Sicherheitsfunktionen ein
Zwei-Faktor-Authentifizierung und Read-only-Tokens sollen die Nutzung der JavaScript-Paketverwaltung sicherer machen und sie gegen Angriffe schützen.
- Matthias Parbel
Im Rahmen der Node.js-Interactive-Konferenz im kanadischen Vancouver kündigte npm neue Sicherheitsfunktionen für die Paketverwaltung an. Das Unternehmen reagiert damit auf die konkrete Bedrohung durch das sogenannte Typosquatting, bei dem Angreifer gezielt auf Tippfehler von Entwicklern beim Paket-Download bauen, um präparierten Code einzuschleusen. Erst kürzlich hatte das offizielle Paket-Repository der Programmiersprache Python (PyPI) mit genau diesem Problem zu kämpfen.
Unter anderem mit Read-only-Tokens und Tokens für Authentifizierungszwecke, die auf bestimmte IP-Bereiche beschränkt werden können, will npm die Sicherheit des Node.js Repositorys erhöhen:
npm install -g npm@next
npm token create —readonly
npm token create —cidr=[10.0.0.1/32]
Mit solchen per CLI erzeugten Tokens lassen sich Pakete nur noch lesen, nicht aber publizieren – beziehungsweise der Token lässt sich nur im angegebenen IP-Bereich nutzen.
Zum erweiterten Schutz von Profilen führt npm die Zwei-Faktor-Authentifizierung (2FA) ein. Zum Veröffentlichen einer neuen Paketversion oder auch, um die Markierung für die letzten Änderungen zu setzen, ist ein Einmal-Passwort vom Authenticator erforderlich. Zunächst setzt npm die 2FA nur zum Schutz einzelner Profile ein, sodass bei mehreren Maintainern pro Paket jedes Profil separat abgesichert werden muss. Zu einem späteren Zeitpunkt will npm die 2FA auch auf Paketebene oder sogar für komplette Organisationen zur Verfügung stellen. (map)
