自动化和安全?你们可以两者都有!
Google开源了一个NPM发布工具,以提高组织跨组织库的安全性。
该工具,Wombat更衣室,旨在降低与NPM出版自动化相关的安全风险。
“在我的团队中,少数开发人员管理75个Node.js库,” Google开发人员工程师本杰明·科(Benjamin Coe)说公告在星期五(1月10日)。
他说:“我们认为自动化是使这一成为可能的关键。”
NPM(Node Package Manager)是Node.js开发人员使用的开源软件包存储库和命令行界面,用于快速发布和分发代码和更新到软件包。
NPM提供了两因素身份验证(2FA),以保护开发人员控制台和分销之间的渠道,并防止威胁参与者能够出于自己的目的劫持包裹。
但是,开发人员经常在便利和安全之间取消权衡。
他说:“很难自动从手机上输入代码的步骤。”“因此,人们经常选择关闭2FA。”
Coe说,这就是为什么Google创建了Wombat更衣室的原因,这是由Google云客户库团队管理代码发布,同时代表用户实施2FA。
Coe说:“使用Wombat更衣室,而不是在身份验证器应用程序中配置两因素身份验证的个人,由共享代理服务器管理2FA。”
Wombat更衣室在Google App Engine上运行,现在在Github上可用在Apache 2.0许可下。
出版物还可以与GitHub上的单个存储库相关的身份验证令牌进行路由。
因此,如果每包出版物令牌最终被妥协,只能劫持一个软件包。
Coe说:“我希望这能帮助社区中的其他人,简化并自动化其释放过程,同时最大程度地减少图书馆的攻击表面。”
你可能还喜欢新的NPM扫描工具嗅出恶意代码
