11.11云上盛惠!海量產(chǎn)品 · 輕松上云!云服務器首年1.8折起,買1年送3個月!超值優(yōu)惠,性能穩(wěn)定,讓您的云端之旅更加暢享??靵眚v訊云選購吧!
今年 2 月,GitHub 宣布 Top-100 npm 包維護者要求啟用 2FA(雙因素身份認證);今年 5 月,GitHub要求所有貢獻代碼的用戶在2023年底前啟用 2FA;現(xiàn)在,GitHub 將這項要求進一步擴大到 Top-500 npm 包維護者。在 GitHub 官方博文中寫道:“按照依賴使用熱度,在 npm 庫上對 top-500 包的維護者現(xiàn)強制要求啟動雙因素認證”。本月初,GitHub 表示只有 16.5% 的 GitHub 活躍用戶和 6.44% 的 npm 用戶使用 2FA。坦白說,這樣的用戶比例是偏低的。GitHub 的首席安全官 Mike Hanley 表示:“被破壞的賬戶可以被用來竊取未公開的私人代碼或對該代
微軟和北卡羅來納州立大學去年合作開展了一個學術研究項目,研究人員通過分析上傳到Node Package Manager (npm)的大約163萬個庫的元數(shù)據(jù),發(fā)現(xiàn)數(shù)千名 JavaScript 開發(fā)者正在使用域名過期的郵箱作為其 npm 帳戶,從而導致他們托管在 npm 的項目會輕易被劫持...研究人員發(fā)現(xiàn)2818名項目維護者的帳戶仍在使用域名過期的郵箱地址,而部分過期的域名正在 GoDaddy 等網(wǎng)站上出售......
結果發(fā)現(xiàn),數(shù)以千計的 JavaScript 開發(fā)者賬戶,正在使用域名已過期的電子郵件地址,意味著他們的項目很容易被劫持...研究人員指出,別有用心的攻擊者可購買這些域名,在其電子郵件服務器上重新注冊維護者的地址,然后重置維護者的賬戶密碼、以接管受害者的 npm 包...慶幸的是,在研究結果于 2021 年 12 月發(fā)布的前幾天,npm 已宣布一項新計劃,聲稱要逐漸讓開發(fā)者賬戶強制執(zhí)行雙因素身份驗證......
最新消息,GitHub 官方人員 Jeremy Epling 發(fā)出公告稱 GitHub 已完成對 npm 的收購。
GitHub官方于 3 月 16 日正式宣布已經(jīng)簽署了收購npm的協(xié)議,未來GitHub將幫助npm滿足快速增長的JavaScript社區(qū)的需求。
剛剛,代碼共享平臺 GitHub 發(fā)布公告稱,該公司已經(jīng)正式收購廣受歡迎的開源 Javascript 包管理服務 npm。