Depuis quelques mois, les attaques contre la supply chain logicielle se multiplient et constituent une menace malheureusement trop souvent ignorée des développeurs. Or, si des paquets NPM sont compromis, potentiellement, VOTRE propre chaîne peut l'être si vous récupérez des paquets malveillants. "Pour faire face à une augmentation des attaques contre le registre de packages, GitHub renforce la sécurité de npm avec une authentification plus stricte, des jetons granulaires et une publication de confiance améliorée pour restaurer la confiance dans l'écosystème open source." introduit GitHub.

Il faut de la transparence et apporter des réponses à ces attaques notamment contre NPM. Une des dernières en date remonte au 14 septembre avec l'attaque Shai-Hulud qui a compromis des comptes et injecter des scripts post-installation dans des packages très utilisés. En réponse à cette attaque, GitHub a retiré plus de 500 packages et NPM a bloqué l'upload de nouveaux paquets ayant un indice de compromission élevé.

Pour répondre à ces attaques, de plus en plus fréquentes et massives, GitHub a décidé de réagir et propose de changements dans les mécanismes de sécurité :

- authentification à 2 facteurs (2FA) pour les publications locales

- tokens avec durée de vie limitée à 7 jours

- publication certifiée et vérifiée pour pallier aux faiblesses des tokens

- dépréciation des tokens actuels

- interdire les tokens par défaut

- pas de bypass 2FA

GitHub sait que ces nombreux changements impacteront les développeurs : "Nous sommes conscients que certaines des modifications de sécurité que nous apportons peuvent nécessiter des mises à jour de vos workflows. Nous allons déployer ces changements progressivement afin de minimiser les perturbations tout en renforçant la sécurité de npm. Nous nous engageons à vous accompagner tout au long de cette transition et vous fournirons les prochaines mises à jour avec des échéanciers clairs, de la documentation, des guides de migration et des canaux d'assistance."

Pour les mainteneurs de paquets NPM, GitHub préconise une utilisation de la publication de confiance au lieu de tokens, généraliser le 2FA et utiliser WebAuthn au lieu de TOTP

Notre avis : GitHub a le mérite de prendre en main la sécurité des packages et d'inciter à des changements profonds même s'il doit les imposer. Il y a trop d'attaques et de campagnes de phishing contre NPM, PyPi, etc. Et malheureusement, la réponse de ces référentiels est malheureusement trop lente, pis, inexistante. La supply chain de développement est vitale. Sa compromission est une réelle danger pour les développeurs, les entreprises et in fine, les utilisateurs.