Crédit : Dreamstime
Voulant améliorer la sûreté et la sécurité des bundles JavaScript NPM, GitHub ajoute un accès granulaire aux jetons pour permettre des autorisations précises pour les comptes NPM, et rend sa capacité d’exploration de code NPM totalement gratuite pour les utilisateurs.
GitHub le 6 décembre a expliqué que les informations d’identification prises sont une raison principale d’information infractions. Pour aider les mainteneurs de NPM à mieux gérer leur exposition aux menaces, GitHub présente un type de jeton d’accès granulaire pour NPM.
L’accès granulaire aux jetons permet aux mainteneurs du bundle NPM de restreindre les packages et les étendues auxquels un jeton a accès, accordez l’accès à des organisations spécifiques, définissez des dates d’expiration des jetons et limitez l’accès en fonction des variétés d’adresses IP. Les utilisateurs peuvent également choisir en lecture seule ou extraire et accéder en écriture à. Jusqu’à 50 accès granulaires aux jetons peuvent être développés sur un compte NPM.
Les jetons d’accès granulaires permettent également Propriétaires d’organisation NPM pour automatiser la gestion de l’organisation. Les jetons peuvent être développés pour gérer plusieurs organisations, membres ou groupes.
Les jetons ont une durée d’expiration pouvant aller jusqu’à un an. GitHub a déclaré que moins de 10% des jetons dans NPM sont régulièrement utilisés, ce qui laisse inutilement de nombreux jetons NPM inactifs, ce qui augmente la capacité d’un jeton à longue durée de vie à être compromis. La rotation de routine des jetons et la limitation de leur expiration au minimum requis réduisent le nombre de vecteurs d’attaque.
L’explorateur de code NPM, en revanche, permet aux développeurs de voir le contenu d’un bundle directement depuis le portail NPM. Par conséquent, les emballages peuvent être examinés avant utilisation. Anciennement une fonctionnalité payante, l’explorateur de code est maintenant offert gratuitement au public et a en fait été mis à jour, améliorant la stabilité et la vitesse. L’explorateur de code fonctionne avec presque tous les bundles du registre du système informatique NPM, a déclaré GitHub.
GitHub, qui appartient à Microsoft, a obtenu NPM en 2020. Il y a plus de 200 milliards de téléchargements de bundles NPM chaque mois. .
Toute l’actualité en temps réel, est sur L’Entrepreneur
