npm, süresiz token’ları kaldırarak granular erişim, zorunlu 2FA ve trusted publishing sistemine geçiyor. Eski npm publish alışkanlıkları artık geçerli değil.
Neden değişim gerekti?
npm, dünya çapında milyonlarca geliştiricinin kod dağıtımını yöneten en büyük ekosistem. Bu kadar geniş bir yapı, beraberinde büyük güvenlik riskleri de getiriyor. Geçmişte bazı popüler paketlerin hesapları ele geçirilerek zararlı sürümler yayınlandı — ve bu sürümler binlerce projeye otomatik olarak yüklendi.
Bu olaylar, “publish” sürecinin bir güvenlik eylemi haline gelmesi gerektiğini gösterdi. Artık sadece kod yazmak değil, yayın sürecini güvence altına almak da geliştiricinin sorumluluğunda.
Değişikliğin özeti
npm, klasik ve süresiz erişim token’larını devre dışı bırakıyor. Yerine:
- Granular Access Token: Kısa ömürlü ve yalnızca belirli paketlere yetkili.
- Trusted Publishing: CI/CD sistemleri kimliğini kanıtlayarak publish yapabiliyor.
- Zorunlu 2FA: Hesabına erişim için ikinci faktör şart.
Bu adımların amacı, supply-chain saldırılarını minimize etmek — özellikle çalınan token’lar veya sızdırılmış CI anahtarları üzerinden yapılan kötü niyetli yayınları durdurmak.
devamını okumak için tıklayın...
Top comments (0)