news GitHub ยกระดับความปลอดภัย npm หลังโดนโจมตีบ่อย บังคับใช้ 2FA, ลดอายุ token เหลือ 7 วัน

[News News is verified member.]

GitHub ยกระดับความปลอดภัย npm หลังโดนโจมตีบ่อย บังคับใช้ 2FA, ลดอายุ token เหลือ 7 วัน
Body

GitHub ประกาศแผนยกระดับความปลอดภัยระบบจัดการแพ็กเกจ npm ที่ตกเป็นเป้าหมายโจมตีอยู่เรื่อยๆ และล่าสุดเพิ่งโดนเวิร์มระบาด กระทบกว่า 500 แพ็กเกจ

แผนการแก้ปัญหาความปลอดภัย npm มีดังนี้

• บังคับล็อกอินด้วย 2FA ในการเผยแพร่แพ็กเกจแบบ local, ปิดช่องทาง bypass 2FA
• เลิกใช้ OTP เปลี่ยนมาเป็นระบบ FIDO
• ปรับระบบ token ความปลอดภัยใหม่ มีอายุแค่ 7 วัน เลิกใช้ระบบ token แบบดั้งเดิม
• ตั้งค่าดีฟอลต์ให้ปลอดภัยมากขึ้น ผู้ใช้ต้องเลือกแพ็กเกจจากผู้เผยแพร่ที่เชื่อถือได้ (trusted publishers)

จุดเปลี่ยนสำคัญคือระบบ Trusted Publishers ที่ใช้คัดกรองผู้เผยแพร่แพ็กเกจผ่านการยืนยันตัวตน แทนระบบ token ของเดิม แนวทางนี้พัฒนาโดยกลุ่ม OpenSSF Securing Software Repositories Working Group และตอนนี้มีระบบแพ็กเกจหลายตัวนำไปใช้งานแล้ว เช่น PyPI, RubyGems, crates.io, NuGet

npm เริ่มใช้ระบบนี้เมื่อเดือนกรกฎาคม 2025 แต่ยังไม่เริ่มบังคับใช้งาน หลังเหตุการณ์โจมตีล่าสุดทำให้ npm ประกาศเร่งการบังคับใช้ให้เร็วขึ้นกว่าเดิม

GitHub บอกว่านโยบายใหม่นี้จะส่งผลกระทบต่อ workflow เดิมของนักพัฒนา แต่ก็จำเป็นต้องทำเพื่อลดผลกระทบด้านความปลอดภัย และจะทยอยเปลี่ยนทีละส่วนเพื่อไม่ให้ส่งผลกระทบทีเดียวพร้อมกันมากๆ

ที่มา - GitHub Blog

mk Wed, 24/09/2025 - 08:44

Continue reading...