NPM users တွေက ယခုအခါ recovery method တစ်ခု အဖြစ် Twitter account ကို ချိတ်ဆက်နိုင်ပြီ
နာမည်ကြီး JavaScript package manager ဖြစ်တဲ့ NPM ကို အသုံးပြုသော developer တွေက ယခုအခါ recovery method အဖြစ် ၎င်းတို့ရဲ့ Twitter နှင့် GitHub အကောင့် တွေကို software နှင့် ချိတ်ဆက် နိုင်တော့မှာပဲ ဖြစ်ပါတယ်။
GitHub-owned package manager အတွက် ပိုမို ကောင်းမွန်တဲ့ security နှင့် အသုံးပြုနိုင်စွမ်းကို ပေါင်းစပ်ဖို့ ရည်ရွယ်ထားတဲ့ အခြား features တွေ နှင့်အတူ အဆိုပါ ပြောင်းရွှေ့မှုကို အင်္ဂါနေ့က ကြေညာခဲ့ ပါတယ်။
ဘလော့ဂ်ပို့စ် တစ်ခုမှာ အပြောင်းအလဲတွေဟာ သုံးစွဲသူတွေ အတွက် ဝန်ထုပ်ဝန်ပိုး ဖြစ်စေတဲ့ security features အချို့ကို လွယ်ကူ ချောမွေ့ စေပြီး အသုံးပြုသူတွေ အတွက် ၎င်းတို့ရဲ့ အကောင့်တွေကို လုံခြုံစေမယ်ဟု GitHub က ပြောကြား ခဲ့ပါတယ်။
” JavaScript community က တစ်ရက်လျှင် npm မှ packages ပေါင်း 5 ဘီလီယံကျော်ကို ဒေါင်းလုဒ် လုပ်ကြပြီး GitHub မှ developer တွေက ၎င်းကို ယုံကြည် စိတ်ချစွာ လုပ်ဆောင်နိုင်တာက ဘယ်လောက် အရေးကြီးတယ် ဆိုတာကို အသိအမှတ် ပြုပါတယ် ” ဟု GitHub ထုတ်ကုန် မန်နေဂျာ Myles Borins နှင့် Monish Mohan မှ ရေးသားခဲ့သည် ပါတယ် ။ “npm registry ရဲ့ registry အနေဖြင့် developer ရဲ့ ယုံကြည်မှုနှင့် registry ကိုယ်တိုင်ရဲ့ လုံခြုံရေး အားလုံးကို တိုးမြင့် လာစေတဲ့ တိုးတက်မှုတွေမှာ ဆက်လက် ရင်းနှီးမြှုပ်နှံဖို့ အရေးကြီး ပါတယ်။” ဟု ထပ်မံ ပြောကြခဲ့ ပါတယ်။
GitHub and Twitter accounts can now be used as recovery options for NPM. Image: GitHub/NPM
Twitter နှင့် GitHub အကောင့်တွေကို အထောက်အထား စိစစ်ခြင်းနည်းလမ်း (authentication method) အဖြစ် ချိတ်ဆက်နိုင်တဲ့ အပြင် NPM တွင် အကောင့် ဝင်ခြင်းနှင့် package ဖြန့်ချိခြင်း အတွက် two-factor authentication (2FA) ကို အသုံးပြုခြင်းက ပိုမို လွယ်ကူစေမှာ ဖြစ်ကြောင်း GitHub မှ ကြေငြာခဲ့ ပါတယ်။
ဘလော့ဂ်ပို့စ် အရ NPM က public beta release မှာ အဆင့်မြှင့် တင်ထားတဲ့ 2FA logins တွေကို အသုံးပြုမှုကို ယခင်က စမ်းသပ်ခဲ့ ဖူးသော်လည်း community မှ အကြံပြုချက် ပြီးနောက်၊ အသုံးပြုသူ ပိုမို အဆင်ပြေစေဖို့ အတွက် အချို့သော features တွေကို ပြုပြင် ပြောင်းလဲသင့်တယ်ဟု ဆုံးဖြတ်ခဲ့ပါတယ်။ ၎င်းတွင် 2FA prompts တွေကို အချိန်တို အတွင်း ပိတ်နိုင်စေဖို့ “remember me for 5 minutes” option မှာ ထည့်သွင်းခြင်း ပါဝင်သည် ပါတယ်။
“2FA ကို အသုံးပြုခြင်းဖြင့် အကောင့် လုံခြုံရေးက သိသိသာသာ တိုးတက်လာ ပါတယ်။ သို့သော် အတွေ့အကြုံက သဘောထား ကွဲလွဲမှုများစွာ တိုးလာပါက၊ သုံးစွဲသူတွေက ၎င်းကို လက်ခံဖို့ ကျွန်ုပ်တို့ မျှော်လင့်နိုင်မှာ မဟုတ်” ဟု Borins နှင့် Mohan မှ ရေးသားခဲ့ ပါတယ် ။ “ကျွန်ုပ်တို့ရဲ့ 2FA အတွေ့အကြုံအသစ်က အစောပိုင်း အသုံးပြုသူတွေက npm CLI ဖြင့် ဝင်ရောက်ခြင်းနှင့် ထုတ်ဝေခြင်း လုပ်ငန်းစဉ် တစ်လျှောက် တုံ့ပြန်ချက် မျှဝေခဲ့ကြပြီး တိုးတက်မှုအတွက် နေရာရှိတယ် ဆိုတာကို ကျွန်ုပ်တို့ အသိအမှတ် ပြုပါတယ်။” ဟု ထပ်မံ ရေးသားခဲ့ ပါတယ်။
ပိုမိုကောင်းမွန်သော security features တွေကို ဇူလိုင် ၂၆ ရက်က ထုတ်ပြန်ခဲ့သော NPM 8.15.0 မှာ ရနိုင်တယ်ဟု ပို့စ်က ပြောထား ပါတယ်။
JavaScript programming language အတွက် open-source software ecosystem ရဲ့ အဓိက အစိတ်အပိုင်း တစ်ခု အနေဖြင့် NPM က နှစ်တွေ အတွင်း အန္တရာယ်ရှိတဲ့ actors များစွာရဲ့ ပစ်မှတ် ထားခံ ခဲ့ရပါတယ်။ တိုက်ခိုက်သူတွေက package publishers တွေထံ စာရင်းသွင်းထားတဲ့ သက်တမ်းလွန် domains တွေကို ဝယ်ယူခြင်းဖြင့် package တွေ အတွက် password reset emails တွေကို လက်ခံရရှိဖို့ အသုံးပြုနိုင်တဲ့ email accounts တွေကို စနစ် ထည့်သွင်းဖို့ အဓိက ဗျူဟာတွေထဲမှ တစ်ခုမှာ တိုက်ခိုက်သူတွေက package တွေကို ထိန်းချုပ်ဖို့ပဲ ဖြစ်ပါတယ်။ ၎င်းကြောင့် NPM အကောင့်တွေသို့ အကောင့်ဝင်ရောက်တဲ့ အခါ 2FA အသုံးပြုမှုကို တိုးမြှင့်ခြင်းဟာ security ဆိုင်ရာ တိုးတက်မှုတွေကို ဖန်တီးဖို့ ရပ်တည်ချက်ပဲ ဖြစ်ပါတယ်။
NPM ရဲ့ parent company ဖြစ်သော GitHub က ပိုမိုကြီးမားသော parent company မှာ security ကို မြှင့်တင်ဖို့ လုပ်ဆောင် နေပါတယ်။ ယခုနှစ် အစောပိုင်းမှာ ကုမ္ပဏီမှ code ပံ့ပိုးပေးသူ အားလုံးဟာ 2023 နှစ်ကုန်ပိုင်းတွင် 2FA ပုံစံ အချို့ကို ဖွင့်ထားဖို့ လိုအပ်ကြောင်း ကုမ္ပဏီက ကြေညာခဲ့ ပါတယ်။
Reference: The Verge
Thetys Co.,Ltd website နှင့် Thetys Facebook တွင် အခြားသော IT နဲ့ပတ်သတ်သော Knowledge များကိုလဲ လေ့လာဖတ်ရှုနိုင်ပါသည်။