Actualités Freelance Informatique

L’authentification à deux facteurs est désormais obligatoire pour les principaux mainteneurs npm

Publié le 21/03/2022
L’authentification à deux facteurs est désormais obligatoire pour les principaux mainteneurs npm

Positionné sur le dépôt de code, GitHub enchaîne les ajustements sur ses outils. Désormais, sa plateforme offre une fonctionnalité aux éditeurs pour parrainer financièrement des répertoires. Par ailleurs, des mainteneurs devront désormais se servir d’une authentification à deux facteurs pour accéder à son Node Package Manager. Dans les prochains mois, cette règle devrait être étendue.

Une décision importante vient d’être prise auprès du Node Package Manager (npm). Le gestionnaire de paquets appartenant à la Plateforme informatique GitHub utilisant le langage JavaScript. Les administrateurs de cet outil imposent désormais le recours à l’authentification à deux facteurs ( 2FA) pour certains mainteneurs. Il s’agit de ceux des 100 bibliothèques les plus célèbres, selon le nombre de dépendances. Dans les mois à venir, ce changement devrait également concerner les équipes chargées des 400 paquets suivants.

Cette mesure constitue la deuxième étape des efforts déployés par les responsables de npm. Ceci afin d’assurer la sécurité des comptes des développeurs. Ces dernières années, nombreux d’entre ceux-ci ont été victimes de hack.

Les sessions Web non conformes au 2FA seront bloquées

Ces comptes piratés ont été utilisés afin de propager des malwares dans des référentiels JavaScript légitimes.

Engagée l’année dernière, la première étape est basée sur une nouvelle fonctionnalité dénommée « vérification de connexion améliorée ». Cette dernière repose sur l’envoi, par courriel, d’un code de sécurité unique à chaque possesseur de paquets npm. Celui-ci leur sera demandé lors d’une tentative de connexion à leurs comptes.

Sur son blog, le pôle sécurité de GitHub a expliqué le dispositif qui vient d’être mis en place :

Les responsables qui n'ont pas activé la 2FA verront leurs sessions Web révoquées et devront configurer 2FA avant de pouvoir prendre des mesures spécifiques avec leurs comptes, telles que changer leur adresse e-mail ou ajouter de nouveaux responsables aux projets.

Afin de prendre en charge les clés d’accès, GitHub songe aussi à intégrer Web Authentication (WebAuthn) .

GitHub a apporté une amélioration à sa fonction Sponsors

Chez cette plateforme de dépôt de code source, les ajustements vont continuer. Incorporée au groupe Microsoft depuis peu, elle a amélioré sa fonction Sponsors . Jusqu’à maintenant, ce mode permettait aux entreprises la possibilité d’ajouter une capacité d’obtenir et de produire des parrainages .

Dès à présent, l’entreprise monte d’un cran avec l’instauration de référentiels destinés exclusivement aux sponsors. Cette fonction permettra aux programmeurs d’échanger avec une plus grande efficacité avec eux. En clair, les éditeurs et les sociétés pourront dorénavant relier un référentiel privé à tous leurs degrés de parrainage . Ce qui ouvrira l’accès au référentiel aux sponsors. Pour information, GitHub gère automatiquement ces invitations, qui ne requièrent aucun traitement avec une assistance humaine.

Pour les consultants IT recourant à ces services, ces différentes modifications doivent être prises en compte. En parlant de ces professionnels, différents moyens peuvent les aider dans la recherche de missions. Dans cette phase, ils peuvent par exemple consulter les plateformes spécialisées comme Freelance-informatique .

Vous êtes freelance ?
Sécurisez votre activité grâce au portage salarial !
Laissez un commentaire
Votre adresse email ne sera pas publiée