GitHub เรียกร้องนักพัฒนาใช้ scoped package ลดการโจมตีจากแฮกเกอร์อัพโหลดแพ็กเกจชื่อซ้ำบน npm

หลังจาก Alex Birsan รายงานถึงการโจมตีด้วยการตั้งชื่อแพ็กเกจซ้ำกับแพ็กเกจภายในของบริษัทต่างๆ ทาง GitHub ก็ออกมาเรียกร้องให้นักพัฒนาที่ใช้งานแพ็กเกจภายในว่าควรใช้ scoped package ที่เป็นฟีเจอร์ของ npm

scoped package เป็นฟีเจอร์ของ npm ตั้งแต่ปี 2014 เมื่อประกาศแพ็กเกจแบบ scoped แล้วแพ็กเกจนั้นจะถูกล็อกเข้ากับรีจิสตรีที่นักพัฒนาระบุไว้ ซึ่งอาจจะเป็นเซิร์ฟเวอร์ในองค์กร หรือจะเป็น npm เองที่สามารถตั้งรีจิสตรีแยกสำหรับองค์กรได้

นอกจากการใช้ scoped package แล้วทาง GitHub ยังแนะนำถึงการพรอกซี่แพ็กเกจเอาไว้ในองค์กรว่าควรระมัดระวังในการคอนฟิก ไม่พรอกซี่แพ็กเกจภายในองค์กรเอง เพราะอาจจะทำให้พรอกซี่หันไปดึงแพ็กเกจชื่อซ้ำจากภายนอกได้หากลบแพ็กเกจออกไปในอนาคต, ไม่ควรใช้ชื่อแพ็กเกจซ้ำกันแม้แพ็กเกจเดิมจะลบไปแล้ว, และตรวจสอบการ build ที่ล้มเหลวเสมอว่าเกิดจากการโจมตีหรือไม่

ที่มา – GitHub

No Description

Topics: 
NPM
GitHub
Security