Les administrateurs du Node Package Manager (npm), le plus grand référentiel de packages de l'écosystème JavaScript, qui appartient à GitHub, viennent d'obliger les mainteneurs des 100 bibliothèques les plus populaires (en fonction du nombre de dépendances) à utiliser l'authentification à deux facteurs (2FA), note The Record. Les responsables des 400 packages suivants devraient eux aussi y passer un peu plus tard cette année.
« Les responsables qui n'ont pas activé la 2FA verront leurs sessions Web révoquées et devront configurer 2FA avant de pouvoir prendre des mesures spécifiques avec leurs comptes, telles que changer leur adresse e-mail ou ajouter de nouveaux responsables aux projets », précise l'équipe de sécurité GitHub sur son blog.
Cette décision représente la deuxième phase des efforts engagés par l'équipe npm pour sécuriser les comptes des développeurs, après que certains ont été piratés ces dernières années et utilisés pour déployer des logiciels malveillants dans des bibliothèques JavaScript légitimes.
La première phase, initiée fin 2021, repose sur une nouvelle fonctionnalité appelée « vérification de connexion améliorée » consistant à envoyer un code d'accès unique par e-mail à tous les propriétaires de packages npm lorsqu'ils se connectent à leurs comptes.
GitHub prévoit également la prise en charge de WebAuthn pour supporter les clés de sécurité.
![[Tuto] Suivre sa consommation électrique en direct avec un Rasbperry Pi et Home Assistant](https://next.ink/wp-content/uploads/2024/07/Linkyspok-510x247.webp "[Tuto] Suivre sa consommation électrique en direct avec un Rasbperry Pi et Home Assistant")
Commentaires (12)
#1
Ça ne pourra rien contre les devs qui sabordent leurs propres projets, comme on l’a vu récemment. Mais bon, vu que c’est la mode de mettre toujours plus d’obstacles pour simplement pouvoir accéder à son compte…
De toute façon, GitHub appartenant à Microsoft, il serait vraiment bien avisé de dupliquer ses dépôts sur d’autres forges, histoire de ne pas mettre tous ses œufs dans le même panier, et ne pas risquer de se voir banni, juste parce qu’on a le malheur de ne pas vivre dans le « bon » pays…
#2
C’est lié au plan d’action Washington pour sécurisé le flux de créations des logiciels suite au piratage de Solarwinds??
#3
En fait, ça s’officialise: Microsoft, via GitHub, se place comme autorité pour définir les règles de bonne conduite de l’OpenSource et de virer les devs de leurs projets si ceux-ci ne respectent pas les règles. Bien content d’avoir fermé mes dépôts github.
ça montre aussi le côté lamentablement amateur de NPM où on ne fait pas la distinction entre développer et publier…
#3.1
Dans la mesure où Git repose sur une architecture distribuée et tant que la license du code versionné permet le fork et les travaux dérivés, l’autorité de Microsoft me paraît bien faible.
Cf youtube-dl quand il fut descendu par GitHub à cause d’une réclamation DMCA, les forks et miroirs ont pullulé en un rien de temps (et youtube-dl lui même a entre autres yt-dlp comme fork très actif).
Cette supposée autorité n’existe que parce que vous voudriez la reconnaître. Dans les faits, le code est libre et distribué, mais si les devs veulent s’enfermer dans un concentrateur centralisé, c’est une autre histoire.
#4
Oulalala c’est horrible il faut du 2FA obligatoire pour se connecter !
#5
Bah ça va du 2FA, ce devrait être la norme, pas de quoi s’énerver ^^
#6
Hmm… je ne vois pas en quoi un 2FA peut empêcher un dev de leaker par erreur un compte/password dans un fichier. Et encore moins de choisir comme password “solarwinds123” :)
#6.1
Solarwinds développé des logiciels. Des pirates ont réussit à s’ infiltrer dans le réseau de l’entreprise et à accéder aux mots de passe des développeurs. Ils ont modifié un logiciel de l’entreprise qui a servi de cheval de Troie pour attaquer des grosses institutions USA comme le pentagone.
Rendre plus difficile la compromission des comptes des développeurs via des technologies comme le 2FA est une bonne chose.
#7
Disons que dans la plupart des cas, oui, mais il y a le cas de ces languages qui font de la gestion de dépendance directement depuis GiHub, et là cela devient de plus en plus problématique.
Pour le reste, GitHub peut aller se faire voir, moi j’ai liquidé tous mes dépôts personnels après l’apparition de Copilot, le système basé sur une I.A. qui régurgite du code pompé des dépôt hébergés sans aucun égard pour la licence d’origine.
#8
#8.1
Bah peu importe non ? Si le password est pourri, tu as 1 facteur pourri. Ca ne dévalorise pas les facteurs supplémentaires.
#9
D’où le dernier point de mon commentaire. A vouloir se centraliser, on se créé une dépendance et un SPOF.
Au final, que ce soit Microsoft ou Jean Michel derrière, on s’en tape, la problématique reste la même : se créer artificiellement une dépendance alors que l’outil sous-jacent repose sur une architecture distribuée, c’est quand même con.