Google开源npm安全发布工具
星期四, 一月 16, 2020
谷歌今日宣布开源npm安全发布工具——Wombat Dressing Room,旨在降低与 npm 发布自动化相关的安全风险。
Google 的开发工程师 Benjamin Coe 在上周五(1月10日)的公告中说:
在我的团队中,少数开发人员管理着超过 75 个 Node.js 库,自动化是达成这一目标的关键。
npm(节点软件包管理器)是 Node.js 开发人员使用的开源软件包存储库和命令行界面,用于快速发布和分发代码和软件包更新。
npm 提供了双因子身份验证 (2FA) 以保护开发人员控制台和发行版之间的通道,防止攻击者劫持软件包。但是,开发人员常常会在便利性和安全性之间进行权衡。
很难将通过手机输入密码的步骤自动化。结果,人们经常选择关闭 2FA。
Coe 表示,这就是 Google 开发 Wombat Dressing Room 的原因,Google Cloud Client Libraries 团队用它来管理代码发布,同时代表用户实施 2FA。
有了 Wombat Dressing Room,不再需要个人在身份验证器应用程序中配置双因子身份验证,而是由共享代理服务器管理来 2FA。
Wombat更衣室可在Google App Engine上运行,并且在Apache 2.0许可下在 GitHub上开源 (https://github.com/GoogleCloudPlatform/wombat-dressing-room)。
发行令牌由 GitHub 上的单个存储库生成并绑定。因此,即使某个程序包的发布令牌被破坏,也只能劫持一个程序包。
Wombat Dressing Room 将有助于 npm 社区中的每个人简化和自动化他们的发布过程,同时最大程度地减少代码库的攻击面。