GitHub закрывает лавочку

GitHub объявил о жесткой перестановке правил игры: двухфакторная аутентификация (только FIDO), отказ от классических токенов в пользу гранулярных с сроком жизни семь дней и «доверённая публикация» через OIDC, которая делает каждую сборку и публикацию криптографически подтверждённой — всё это направлено на то, чтобы увести npm из рук тех, кто любит подсовывать вредоносный код и воровать секреты.

Иронично наблюдать, как банальные практики безопасности, о которых долгие годы твердили специалисты, вдруг становятся непреодолимой преградой для авторов саморазмножающихся червей и QR-кодных трюков для кражи cookie: вместо очередной «хитрой» библиотеки теперь потребуется доказать, кем ты являешься, и подтвердить, откуда пришёл билд.

Переход на короткоживущие токены и запрет обхода 2FA при публикации снижают риск того, что украденный ключ будет использован для подмены пакета через месяцы после компрометации; доверённая публикация исключает вообще саму необходимость держать постоянный publish-токен в CI, подавая вместо этого краткоживущие учетные данные конкретного рабочего процесса.

В сумме изменения означают, что атаки наподобие недавних распространённых вредоносов, которые использовали npm-пакеты как средство для эксфильтрации секретов или внедрения стеганографических полезных нагрузок, столкнутся с куда более высокой проверяемостью и следуемостью происхождения сборок.

Разумеется, злодеи не сдадутся без борьбы — всегда найдутся те, кто попробует вывернуть систему под себя — но теперь им придётся ломать не только код, но и процесс сборки и управление учётными записями, что существенно повышает порог входа и увеличивает шанс на своевременное обнаружение.

Для разработчиков и организаций это сигнал: время избавиться от вечных токенов, настроить FIDO-ключи и перевести CI/CD на OIDC — тогда ваши зависимости станут не просто набором строк в package.json, а доказуемо надёжными артефактами.