GitHub ประกาศบังคับให้ผู้ดูแลแพ็กเกจ NPM ยอดนิยม 100 ตัวแรก ต้องล็อกอินแบบ 2FA เพื่อเพิ่มระดับความปลอดภัยจากการถูกแฮ็กบัญชี ตามที่เคยประกาศแนวทางไว้

การที่แพ็กเกจ NPM ยอดนิยมถูกใช้งานในวงกว้าง ทำให้เกิดปัญหาผู้ดูแลถูกแฮ็กบัญชี แล้วเปลี่ยนแพ็กเกจที่ยัดไส้มัลแวร์อยู่บ่อยครั้ง สร้างผลกระทบเป็นวงกว้าง หนึ่งในมาตรการของ GitHub คือเพิ่มความปลอดภัยของบัญชีผู้ดูแลก่อน โดยเริ่มจากกลุ่ม Top 100 และขั้นต่อไปคือ GitHub จะบังคับ 2FA กับแพ็กเกจที่มียอดดาวน์โหลดเกิน 1 ล้านครั้งต่อสัปดาห์ หรือมีโครงการอื่นเรียกใช้งานเกิน 500 โครงการ

GitHub ระบุว่าปรับปรุงฟีเจอร์ด้าน 2FA ขึ้นอีกหลายอย่าง เช่น การบังคับใช้ 2FA กับบัญชีของทั้งองค์กร, เพิ่มวิธีการตรวจสอบ (audit) ว่าบัญชีไหนขององค์กรเปิด 2FA แล้วบ้าง เพื่อเตรียมเปิดใช้ 2FA ในวงกว้างกว่านี้ในอนาคต นอกจากนี้ GitHub กำลังพัฒนาระบบล็อกอินให้รองรับ WebAuthn เพื่อยืนยันตัวตนด้วยคีย์ฮาร์ดแวร์หรือไบโอเมทริกด้วย

ที่มา - GitHub