速報
GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に
GitHub傘下のパッケージリポジトリnpmは、上位100のライブラリのメンテナは2要素認証(2FA)を必須にすると発表した。2FAにしないメンテナはWebセッションを取り消される。
米Microsoft傘下のGitHubのパッケージリポジトリnpmは2月1日(現地時間)、上位100のライブラリのメンテナは2要素認証(2FA)を必須にすると発表した。同日からこのセキュリティ要件を施行した。
現在2FAにしていないメンテナはWebセッションを取り消され、メールアドレス変更やプロジェクトへの新たなメンテナの追加などの特定のアクションを実行する前に2FAを設定する必要がある。
アカウントを乗っ取られ、正規のJavaScriptライブラリ内にマルウェアをプッシュされるような危険を回避する目的。
このプロセスの最初のフェーズは、昨年12月7日から2022年1月4日までの間に行われた。npmはすべてのパッケージメンテナに拡張ログイン検証と呼ぶ新機能を公開した。その際、2FA必須にする計画も発表していた。
年内にはさらにトップ500パッケージのメンテナにも範囲を広げる計画だ。GitHubはまた、npmアカウントのWebAuthnサポートを追加し、プロジェクトのメンテナがセキュリティ鍵を使ってサイトで認証できるようにすることも計画している。
関連記事
- OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん 「ただ働きはもうしない」
OSS「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。 - 「GitHub禁止は解決にならない」「過度にリスク面だけ注目しないで」 IT連が声明
日本のIT団体を束ねる日本IT団体連盟は、「GitHub」を通じてソースコードが一部公開された事件について「GitHubなどの禁止は解決にならない」とする声明を発表した。 - GitHub、チーム向け無料プランや有料プランの値下げを発表
Microsoft傘下のGitHubが、これまで個人でしか使えなかった無料プランをチームでも使えるようにし、チーム向けの2つの有料プランを月額4ドルに大幅値下げした。 - GitHub、JavaScriptパッケージ管理のnpmを買収
Microsoft傘下のGitHubが、サーバ側で動作するJavaScript「Node.js」パッケージを管理するオープンソースツール「npm」を提供するnpmを買収する。将来的にはnpmをGitHubに統合していく計画。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.