أمان جديد على npm: الحماية ضد الهجمات السيبرانية

خط دفاع جديد لمطوري البرمجيات

أخبار سارة لكل من يستخدم ويطور البرمجيات! npm، المنصة الكبيرة التي يشارك عليها المطورون مكونات البرمجيات (تسمى الحزم)، قد قدمت تدابير أمنية جديدة هامة. تم تصميم هذه التعديلات لمواجهة ما يسمى بـ 'هجمات سلسلة التوريد' بشكل أكثر فعالية.

هذه هي الهجمات التي يستغل فيها مجرمو الإنترنت نقاط الضعف في سلسلة توريد البرمجيات لنشر الشفرات الضارة. هذه الإجراءات الجديدة، التي تم تطويرها بالتعاون مع GitHub، تجعل من السهل على المطورين تأمين برامجهم.

يعني هذا بشكل ملموس أن عملية نشر إصدارات البرامج الجديدة ستخضع لرقابة صارمة. قبل أن تصبح حزمة جديدة أو تحديث متاحًا للعالم، يجب على المسؤول البشري عن الحزمة المرور أولاً بخطوة أمنية إضافية. هذا يوفر طبقة تحقق إضافية ضرورية في المعركة ضد الاختراقات الرقمية ويضمن برامج أكثر موثوقية للجميع.

كيف تعمل الإجراءات الجديدة بالضبط؟

تعتمد أحدث الميزات الأمنية في npm على ركيزتين أساسيتين: المصادقة الثنائية (2FA) الإلزامية لنشر الحزم، وطريقة جديدة تسمى 'staged publishing' (النشر المراحل).

المصادقة الثنائية (2FA) إلزامية

تطلب العديد من الخدمات عبر الإنترنت في الوقت الحاضر أكثر من مجرد كلمة مرور. هذه هي المصادقة الثنائية: خطوة أمنية إضافية. يمكن أن يكون هذا، على سبيل المثال، رمزًا يتم إنشاؤه عبر تطبيق على هاتفك، أو رمزًا تتلقاه عبر رسالة نصية قصيرة.

في npm، أصبح الآن من الإلزامي استخدام المصادقة الثنائية إذا كنت ترغب في نشر حزم البرامج. هذا يقلل من احتمالية وصول المخترقين إلى حسابك ونشر برامج ضارة، حتى لو تمكنوا من معرفة كلمة مرورك.

النشر المراحل: تحقق إضافي

بالإضافة إلى المصادقة الثنائية، تم أيضًا تقديم 'staged publishing'. ما الذي يعنيه هذا بالضبط لشركات SMEs؟ تخيل أن مطورًا لديه إصدار جديد من جزء برمجي مهم جاهز.

مع 'staged publishing'، يتم وضع هذا الإصدار الجديد 'قيد الانتظار' أولاً. لن يكون متاحًا للتنزيل مباشرة للجميع. أولاً، يجب على مسؤول مصرح به (إنسان!)

إعطاء الموافقة النشطة.

تتطلب عملية الموافقة هذه مفتاح المصادقة الثنائية مرة أخرى. لذلك، يجب على المسؤول تأكيد، عبر طريقة الأمان الإضافية الخاصة به، أن إصدار البرنامج الجديد هذا آمن حقًا ومخصص للإصدار. فقط بعد هذه الموافقة الصريحة، يتم جعل الحزمة متاحة للجمهور.

توفر هذه العملية لحظة إضافية حاسمة للتحقق من عدم إدخال تغييرات غير مقصودة أو ضارة قبل أن تتمكن من التأثير.

ماذا يعني هذا الآن لشركات MKB؟

هذه التطورات في npm هي أخبار جيدة لشركات MKB، حتى لو لم تكن مطورًا مباشرًا لحزم البرامج. أمان البرامج التي تستخدمها أمر بالغ الأهمية. تستخدم العديد من شركات MKB برامج تتكون من العديد من المكونات المختلفة، وغالبًا ما تكون قادمة من منصات مثل npm.

زيادة موثوقية البرامج المستخدمة

• انخفاض خطر الإصابات: من خلال طبقات الأمان الجديدة هذه، يصبح من الصعب على مجرمي الإنترنت إدخال مكونات مصابة في سلسلة البرامج. هذا يقلل من خطر تأثر شركتك بالبرامج الضارة التي تدخل عبر حزمة برامج.
• زيادة الثقة في التحديثات: يمكنك تثبيت التحديثات للبرامج التي تستخدمها بثقة أكبر. تقل احتمالية أن يقدم التحديث عن غير قصد ثغرات أمنية أو يحتوي على شفرات ضارة.
• بيئة تطوير أكثر أمانًا (إذا كان ذلك ينطبق): إذا كانت شركتك تطور برامج أو تتعاقد على تطوير برامج، فهذا يضمن أن البيئة التي يعمل بها مطوروكن أكثر أمانًا. إنهم يبنون على أساس من اليقين.

ما الذي يجب عليك فعله:

على الرغم من أن npm يعزز الأمان، فمن الجيد دائمًا البقاء متيقظًا بنفسك. بالنسبة لشركات MKB التي تنشر مكونات برامج بنفسها عبر npm، من الضروري بالتأكيد:

• تمكين المصادقة الثنائية (€) لجميع الحسابات التي تنشر البرامج.
• مراجعة الإجراءات الداخلية للموافقة على البرامج ونشرها والتأكد من أنها تتوافق مع الطرق الجديدة.
• توعية المطورين لديكم بأهمية هذه التدابير الأمنية.

بالنسبة للشركات التي تستخدم البرامج بشكل أساسي، فإن الأهم هو أن يكون لدى موردي البرامج الذين تتعامل معهم عناية بأمان منتجاتهم. تساهم هذه الإجراءات الجديدة في npm بشكل مباشر في ذلك.

الصورة الأكبر: الوعي بالأمن السيبراني

تؤكد هذه الإجراءات على مدى أهمية الأمن السيبراني، حتى لأكثر الأجزاء أساسية في العالم الرقمي، مثل مكونات البرامج. يمكن أن يكون للهجوم على حزمة برامج صغيرة عواقب وخيمة على عدد لا يحصى من الشركات التي تستخدم تلك الحزمة. لذلك، من الأهمية بمكان أن تستثمر كل شركة، كبيرة أو صغيرة، في الأمن السيبراني.

هذا لا يعني فقط التدابير التقنية، بل أيضًا زيادة الوعي لدى الموظفين بالمخاطر وكيفية تجنبها.

الخلاصة

يعد إدخال المصادقة الثنائية والنشر المراحل على npm خطوة مهمة إلى الأمام في الحماية ضد هجمات سلسلة التوريد. توفر هذه الإجراءات ضمانًا أفضل بأن مكونات البرامج المستخدمة عالميًا أكثر أمانًا. بالنسبة لشركات MKB، هذا يعني تقليل المخاطر السيبرانية المحتملة وزيادة الثقة في البرامج التي تستخدمها.

إنها دعوة واضحة لأخذ الأمن السيبراني على محمل الجد وضمان أن تكون أنت وموظفوكن على دراية بأحدث التهديدات وإجراءات الحماية.

هل تريد معرفة المزيد؟ اكتشف أيضًا كيف يمكن لـ Assist2go المساعدة من خلال خدمة تكنولوجيا المعلومات المناسبة لشركتك.