GitHub 加强 NPM 安全性！🛡️ 最新安全更新以应对黑客威胁

大家好！👋 今天，我在这里与大家分享一些激动人心的安全新闻。您还记得最近在开发者社区中引起热议的 NPM 安全问题吗？看到这些报道后，我非常感兴趣。🤔

在发生了一系列著名的攻击和黑客尝试之后，GitHub 决定加强其平台的安全性。特别是，已经宣布了旨在进一步加强软件包发布安全性的变化。我们来仔细看看细节吧？

🔒 NPM 安全，现在由 GitHub 负责！

GitHub 计划实施多项关键变更，以改善软件包发布安全性。首先，将强制执行双因素身份验证 (2FA)，并且将逐步淘汰遗留令牌。这可以被视为一项措施，用于更安全地保护开发人员宝贵的代码，就像给您家的门加双锁一样！🏠

特别值得注意的是**“可信发布”功能的扩展**，以及默认情况下将限制基于令牌的发布。这似乎是为了防止无差别地使用令牌，并鼓励采用更经过验证的软件包发布方法。此外，身份验证和发布选项预计将包括需要强制 2FA 的本地发布、有效期为 7 天的细粒度令牌以及上述的可信发布。

🦠 'Shai-Hulud' 蠕虫感染超 500 个软件包已确认

GitHub 的这些举措与“Shai-Hulud”蠕虫入侵 NPM、导致超过 500 个受感染软件包被移除的事件并非无关。😱 这是一个令人震惊的例子，表明恶意代码可以像病毒一样迅速传播。此更新似乎反映了 GitHub 致力于保护开发生态系统免受此类恶意攻击的坚定承诺。

💪 增强的身份验证和保护功能

GitHub 计划逐步淘汰遗留的经典令牌和基于时间的一次性密码 (TOTP) 类型的 2FA，并将强制过渡到基于 FIDO 的 2FA。FIDO 以提供更强大的安全性来抵御包括网络钓鱼攻击在内的各种威胁而闻名。🤔

此外，通过将每个令牌的有效期限制在 7 天，鼓励使用细粒度令牌，旨在最大限度地降低未经授权访问的风险。这将使开发人员能够更安全地管理和部署他们的代码。您目前是如何使用 2FA 的？请在评论中分享！👇

近几个月来，安全相关的新闻层出不穷，而 GitHub 的这些变化无疑对开发者来说是个非常受欢迎的消息。虽然适应新系统可能需要一些努力，但预计它将为创造一个更安全、更可靠的开发环境做出重大贡献。👍

我们希望 GitHub 能一如既往地持续这些安全增强努力，成为开发者坚实的合作伙伴。😊

希望今天的新闻对您有所帮助，下次我将带来更多有用的信息！祝您健康安全！✨