Cherchant à améliorer la sûreté et la sécurité des packages JavaScript NPM, GitHub ajoute des jetons d’accès granulaires pour permettre des autorisations précises pour les comptes NPM et rend sa capacité d’exploration de code NPM gratuite pour les utilisateurs.

GitHub le 6 décembre a expliqué que les informations d’identification volées sont une cause principale de violations de données. Pour aider les mainteneurs de NPM à mieux gérer leur exposition aux risques, GitHub introduit un type de jeton d’accès granulaire pour NPM. La jetons d’accès granulaires permettre aux mainteneurs de packages NPM de restreindre les packages et les étendues auxquels un jeton a accès, d’accorder l’accès à des organisations spécifiques, de définir des dates d’expiration de jeton et de limiter l’accès en fonction des plages d’adresses IP. Les utilisateurs peuvent également sélectionner un accès en lecture seule ou en lecture et écriture. Jusqu’à 50 jetons d’accès granulaire peuvent être créés sur un compte NPM.

Les jetons d’accès granulaires permettent également aux propriétaires d’organisations NPM d’automatiser la gestion de l’organisation. Les jetons peuvent être créés pour gérer une ou plusieurs organisations, membres ou équipes.

Les jetons ont une période d’expiration pouvant aller jusqu’à un an. GitHub a déclaré que moins de 10% des jetons dans NPM sont régulièrement utilisés, ce qui laisse de nombreux jetons NPM inactifs inutilement, augmentant le risque qu’un jeton à longue durée de vie soit compromis. La rotation régulière des jetons et la limitation de leurs expirations au minimum requis réduisent le nombre de vecteurs d’attaque.

La Explorateur de code NPM, quant à lui, permet aux développeurs de visualiser le contenu d’un package directement depuis le portail NPM. Ainsi, les emballages peuvent être examinés avant utilisation. Auparavant une fonctionnalité payante, l’explorateur de code est désormais disponible publiquement gratuitement et a été mis à jour, améliorant la stabilité et la vitesse. L’explorateur de code fonctionne avec presque tous les packages du registre NPM, a déclaré GitHub.

GitHubqui appartient à Microsoft, MNP acquis en 2020. Il y a plus de 200 milliards de téléchargements de packages NPM chaque mois.

Copyright © 2022 IDG Communications, Inc.

Leave a Reply