米Microsoft傘下のGitHubのパッケージリポジトリnpmは2月1日(現地時間)、上位100のライブラリのメンテナは2要素認証(2FA)を必須にすると発表した。同日からこのセキュリティ要件を施行した。
現在2FAにしていないメンテナはWebセッションを取り消され、メールアドレス変更やプロジェクトへの新たなメンテナの追加などの特定のアクションを実行する前に2FAを設定する必要がある。
アカウントを乗っ取られ、正規のJavaScriptライブラリ内にマルウェアをプッシュされるような危険を回避する目的。
このプロセスの最初のフェーズは、昨年12月7日から2022年1月4日までの間に行われた。npmはすべてのパッケージメンテナに拡張ログイン検証と呼ぶ新機能を公開した。その際、2FA必須にする計画も発表していた。
年内にはさらにトップ500パッケージのメンテナにも範囲を広げる計画だ。GitHubはまた、npmアカウントのWebAuthnサポートを追加し、プロジェクトのメンテナがセキュリティ鍵を使ってサイトで認証できるようにすることも計画している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR