أطلقت npm ميزات أمنية جديدة لتعزيز حماية سلاسل توريد البرمجيات، عبر فرض التحقق بخطوتين عند نشر الحزم البرمجية لمواجهة الهجمات السيبرانية المتزايدة.
ما هي ميزة النشر المرحلي الجديدة في منصة npm؟
أعلنت شركة GitHub عن توفير ميزة "النشر المرحلي" (Staged Publishing) بشكل عام لجميع مطوري npm. تهدف هذه الخطوة إلى إضافة طبقة حماية بشرية قبل أن تصبح الحزم البرمجية متاحة للجمهور.
ووفقاً لتقرير تيكبامين، فإن هذه الميزة تمنع عملية النشر التلقائي المباشر التي قد يستغلها المهاجمون لزرع أكواد خبيثة في الإصدارات الجديدة من الحزم الشهيرة.
كيف تعمل ميزة التحقق بخطوتين عند نشر الحزم؟
بدلاً من النشر المباشر الذي يجعل إصدار الحزمة متاحاً للمستهلكين فوراً، يتم رفع الملفات إلى "زمام انتظار" (Stage Queue). هنا، يجب على المطور المسؤول الموافقة صراحة على الإصدار قبل تفعيله.
تضمن هذه الآلية ما يسمى بـ "إثبات الحضور" (Proof of Presence)، حيث يتطلب الأمر من المطور تجاوز تحدي التحقق بخطوتين (2FA) للموافقة على الحزمة قبل دفعها إلى السجل الرسمي لموقع npmjs.com.
ما هي متطلبات تفعيل ميزات أمن npm الجديدة؟
لاستخدام ميزة النشر المرحلي والاستفادة من أقصى درجات الحماية، يجب على المطورين الالتزام بالمعايير التقنية التالية:
- تحديث أداة npm CLI إلى الإصدار 11.15.0 أو أحدث.
- تفعيل ميزة التحقق بخطوتين (2FA) بشكل إلزامي على حساب المطور.
- استخدام الأمر البرمجي "npm stage publish" من المجلد الرئيسي للحزمة.
- توصي المنصة بدمج هذه الميزة مع تقنية OpenID Connect (OIDC) لتوثيق النشر الموثوق.
ما هي التحديثات الجديدة في عمليات تثبيت الحزم؟
لم يقتصر التحديث على جانب النشر فقط، بل شمل أيضاً قيوداً جديدة على عملية تثبيت الحزم. تم تقديم ثلاث علامات (Flags) جديدة للتحكم في مصادر التثبيت البرمجية.
حسب تيكبامين، تتيح هذه العلامات للمطورين تطبيق نهج "القائمة البيضاء" على كل مصدر تثبيت غير رسمي، مما يقلل من فرص تعرض المشاريع لهجمات عبر مصادر خارجية غير موثوقة.
لماذا تزداد هجمات سلاسل التوريد في البرمجيات مفتوحة المصدر؟
يأتي هذا التحرك الأمني في ظل موجة ضخمة من الهجمات التي تستهدف الأنظمة مفتوحة المصدر. وقد تم رصد مجموعات إجرامية تقوم بتسميم الحزم البرمجية الشائعة على نطاق واسع عبر عمليات اختراق متسلسلة.
تعتمد هذه الهجمات على استغلال الثقة في الحزم البرمجية للوصول إلى بيانات المستخدمين والشركات. لذا، فإن فرض التحقق البشري والمصادقة الثنائية يعد خطوة محورية لتأمين مستقبل التطوير البرمجي العالمي.
نصيحة تقنية للمطورين
يجب على كافة المطورين مراجعة إعدادات الأمان الخاصة بحساباتهم فوراً والبدء في اعتماد الإصدارات الأحدث من أدوات التطوير لضمان عدم وقوع مشاريعهم ضحية لهذه التهديدات المتطورة.
