GitHub обявява война на хакерите и променя правилата на играта
GitHub разгласи огромни промени в системата за засвидетелствуване и издание на npm пакети, с цел да ускори отбраната против офанзиви по веригата за доставки. Причината за актуализациите е неотдавнашната акция на Shai-Hulud – злоумишлен саморазпространяващ се червей, инжектиран в стотици npm библиотеки. Той освен се дублираше в други пакети, само че и сканираше устройствата на разработчиците за чувствителни данни, в това число ключове и токени и ги предаваше на нападателите.
В отговор на случая GitHub съобщи, че скоро ще се откаже от остарелите механизми за оторизация и ще вкара по-строг надзор.
Сред основните нововъведения са наложителното потребление на двуфакторна автентикация при локално издание, както и прекосяването към краткотрайни токени с оптималната годност 7 дни. Освен това интензивно ще се предизвиква потреблението на Trusted Publishing – система, основана на протокола OpenID Connect, която разрешава пакетите да се разгласяват непосредствено от CI/CD без токени.
Trusted Publishing основава криптографски проверима връзка сред оповестения пакет и неговата среда за създаване. Интерфейсът CLI в npm автоматизирано генерира и прикачва доказателство за достоверност към обявата, тъй че всеки консуматор да може да ревизира къде и при какви условия е бил основан пакетът. Това решение би трябвало да увеличи прозрачността и доверието в доставчиците на софтуерни съставни елементи.
Преходът към новата система ще включва следните промени:
отвод от класическите токени, употребявани по-рано за публикуване; извеждане от употреба на TOTP като способ за 2FA, с преход към физически ключове, съвместими с FIDO; ограничение на периода на деяние на детайлизираните токени, изключително тези, които дават право на публикуване; блокиране на публикуването с потребление на токени по дифолт — желание ще се дава или на приближен издание, или на ръчно качване с 2FA; анулация на изключенията, позволяващи заобикаляне на двуфакторната отбрана при локално публикуване; разширение на листата с CI/CD-доставчици, подобаващи за Trusted Publishing.Според изказването на GitHub, всичко това би трябвало да понижи фрапантно опциите на нападателите да завземат npm инфраструктурата посредством подправени или откраднати токени, изключително като се има поради мащабът на следствията от офанзивата Shai-Hulud.
Новият модел на издание е ориентиран към понижаване на зависимостта от токените като точка на отвод и към повишение на равнището на верификация на всяко деяние, обвързвано с слагането на пакети. Тези ограничения са освен отговор на съответна офанзива, само че и стратегическа преструктуриране на цялата система за сигурност, основана на правилата на минимизиране на привилегиите и криптографска инспекция.
