GitHub将要求部分NPM注册表用户使用2FA

该规定将适用于JavaScript注册表上顶级软件包的维护者和管理员，以应对最近的两起安全事件。

鉴于最近发生了两起影响到流行的NPM注册表的JavaScript包的安全事件，GitHub将要求NPM上流行包的维护者和管理者进行2FA（双因素认证）。

GitHub在11月15日发布的公告中说，2FA政策旨在防止账户被接管，将在2022年第一季度从一批顶级软件包中开始实施。在2020年收购NPM之后，GitHub成为该注册表的管理人。

GitHub定期在注册表上看到NPM账户被恶意行为者入侵，然后被用来将恶意代码插入这些账户可以访问的流行包中的事件。GitHub列举了两起促使其加强安全的事件：

• 10月26日，GitHub发现了一个由公开的NPM服务的日常维护引起的问题。在维护为公共NPM副本提供支持的数据库期间，创建的记录可能暴露了私人软件包的名称。这使得副本的消费者有可能通过公共变更信息中发布的记录来识别私有包的名称。其他的信息，包括私有包的内容，在任何时候都不能被访问。10月20日之前创建的私有包的@owner/package 格式的包名在10月21日和10月29日之间被曝光，当时开始进行修复和确定曝光的范围的工作。所有包含私有包名称的记录都在这一天从replicate.npmjs.com 服务中删除。为了防止该问题再次发生，我们做了一些改变。
• 11月2日，GitHub收到一个漏洞报告，该漏洞允许攻击者在没有适当授权的情况下使用账户发布任何NPM包的新版本。该漏洞在收到报告后六小时内被修补。