GitHub details upcoming changes to improve security in wake of Shai-Hulud worm in npm ecosystem

为应对JavaScript包管理器npm近期遭受的供应链攻击，GitHub已实施多项变更以增强安全性。

此次对npm生态系统的攻击由名为Shai-Hulud的蠕虫引发，该蠕虫会感染其他软件包并重新发布携带恶意代码的版本，从而在整个npm生态系统中传播。

GitHub在博客文章中写道：“通过将自我复制能力与窃取多种类型密钥（不仅限于npm令牌）的功能相结合，若非GitHub和开源维护者及时采取行动，此蠕虫本可能引发无休止的攻击流。”

GitHub最初通过从npm注册表中移除超过500个受感染软件包，并阻止上传包含与恶意软件包相关攻击指标的新软件包来应对威胁。

目前，该公司宣布即将推行认证和发布选项的变更，以降低令牌滥用和自复制恶意软件的风险。具体措施包括：要求本地发布时使用双因素认证、将精细化令牌的有效期缩短至七天，以及采用可信发布者机制来进一步减少长期有效令牌或凭据在软件包仓库认证中的使用。

GitHub明确表示：“当npm最初推出可信发布支持时，我们的意图是让这一新功能自然增长。但攻击者已表明他们不会等待。我们强烈建议所有项目尽快为受支持的软件包管理器采用可信发布机制。”

此外，为专门加强npm安全性，GitHub还将淘汰传统经典令牌、弃用基于时间的一次性密码双因素认证、默认禁用令牌发布访问权限，并扩展可信发布的提供方范围。

GitHub理解部分变更可能会干扰现有开发工作流，因此计划逐步推行这些更改，并将后续提供具体时间表及相关文档、迁移指南和支持渠道的更新。

GitHub强调：“真正的韧性需要软件行业每个人的积极参与和警惕。通过采用强大的安全实践、利用现有工具并贡献于这些集体努力，我们能够共同为所有人构建更安全可靠的开源生态系统。”