[08/12/2022] Con el objetivo de mejorar la seguridad de los paquetes JavaScript NPM, GitHub está añadiendo tokens de acceso granular para permitir permisos de grano fino para las cuentas NPM, y haciendo que su explorador de código NPM sea gratuito para los usuarios.
El 6 de diciembre, GitHub explicó que el robo de credenciales es una de las principales causas de las filtraciones de datos. Para ayudar a los mantenedores de NPM a gestionar mejor su exposición al riesgo, GitHub está introduciendo un tipo de token de acceso granular para NPM. Los tokens de acceso granular permiten a los mantenedores de paquetes NPM restringir a qué paquetes y ámbitos tiene acceso un token, conceder acceso a organizaciones específicas, establecer fechas de caducidad de los tokens y limitar el acceso en función de rangos de direcciones IP. Los usuarios también pueden seleccionar el acceso de solo lectura o de lectura y escritura. Se pueden crear hasta 50 tokens de acceso granular en una cuenta de NPM.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Los tokens de acceso granular también permiten a los propietarios de organizaciones de NPM automatizar la gestión de org. Se pueden crear tokens para gestionar una o más organizaciones, miembros o equipos.
Los tokens tienen un periodo de caducidad de hasta un año. GitHub afirma que menos del 10% de los tokens de NPM se utilizan con regularidad, lo que deja muchos tokens de NPM inactivos innecesariamente, aumentando la posibilidad de que un token de larga duración se vea comprometido. La rotación regular de los tokens y la limitación de su caducidad al mínimo necesario reducen el número de vectores de ataque.
El explorador de código NPM, por su parte, permite a los desarrolladores ver el contenido de un paquete directamente desde el portal NPM. De este modo, se pueden examinar los paquetes antes de utilizarlos. Anteriormente una función de pago, el explorador de código está ahora disponible públicamente de forma gratuita y se ha actualizado, mejorando la estabilidad y la velocidad. Según GitHub, el explorador de código funciona con casi todos los paquetes del registro NPM.
GitHub, propiedad de Microsoft, adquirió NPM en el 2020. Cada mes se realizan más de 200 mil millones de descargas de paquetes NPM.
Basado en el artículo de Paul Krill (InfoWorld) y editado por CIO Perú