Google gibt das npm-Security-Werkzeug Wombat Dressing Room als Open Source frei
Google setzt Wombat Dressing Room intern ein, um eine Zwei-Faktor-Authentisierung für npm zu ermöglichen, die besser mit Automatisierungsaufgaben funktioniert.
- Björn Bohn
Google hat mit dem Wombat Dressing Room ein Werkzeug quelloffen zur Verfügung gestellt, das den Einsatz des JavaScript-Paketmanagers npm in puncto Sicherheit und Automatisierung unterstützen soll. Dabei handelt es sich im Prinzip um eine Registry-Proxy, die eine Zwei-Faktor-Authentisierung für npm-Pakete automatisierbar machen soll. Der Internetriese setzt das Tool innerhalb seines Google-Cloud-Client-Libraries-Team bereits seit einem Jahr in einem automatisierten Veröffentlichungsprozess für Bibliotheken ein. Es steht nun unter der Apache-2.0-Lizenz.
Um Wombat Dressing Room nutzen zu können, benötigen Entwickler drei Dinge: einen Account auf der Google Cloud Platform, einen npm-Account und eine GitHub-OAuth-Applikation, die die Authentisierung handhabt. Entwickler veröffentlichen damit ihre Pakete zunächst auf Wombat Dressing Room, das weitere Sicherheitsregeln durchsetzt, bevor es auf registry.npmjs.org weiterleitet. Ein Bot-Account veröffentlicht die Pakete dann von einem einzelnen npm-Account mit eingeschalteter Zwei-Faktor-Authentisierung. Entwickler können dafür auch das CLI von npm nutzen, wenn sie Wombat Dressing Room als Standard-Registry auswählen.
Die Sicherheits-Features
Wombat Dressing Room soll unter anderem Authentisierungs-Tokens generieren, die an ein bestimmtes GitHub-Repository gebunden sind. Ein Nutzer muss folglich Push-Rechte für das jeweilige Repository haben. Sollte es zu einem Leak des Tokens kommen, können Angreifer nur das einzelne Paket, das mit dem Token verknüpft ist, übernehmen. Außerdem bietet das Tool die Möglichkeit, Tokens anzulegen, die nur eine eintägige Lebensspanne haben – was das Angriffsfenster schmälern soll. Ein Paket kann außerdem nur veröffentlicht werden, wenn im zugehörigen GitHub-Release ein entsprechender Tag vorliegt.
Weitere Informationen finden sich in einem Beitrag im Google-Open-Source-Blog. Wer sich Wombat Dressing Room genauer anschauen möchte, findet das Projekt auf GitHub. (bbo)