Эта настройка останавливает 99% атак NPM

Атаки на цепочки поставок программного обеспечения резко обострились, превратившись в сложные кампании, которые напрямую нацелены на инфраструктуру разработки. Злоумышленники теперь применяют передовые тактики, такие как червь «Shai-Hulud», специально разработанный для проникновения в конвейеры CI/CD. Эти кампании направлены на компрометацию сред сборки и кражу учетных данных, предоставляя злоумышленникам глубокий, постоянный доступ внутри организаций.

Злоумышленники в первую очередь стремятся извлечь конфиденциальные токены — такие как для AWS, GitHub или npm, — которые предоставляют привилегированный доступ к облачным ресурсам, репозиториям кода и пользовательским данным. Они достигают этого различными коварными методами, включая захват широко используемых пакетов или развертывание вредоносных подделок. Эта стратегия typosquatting обманывает разработчиков, заставляя их устанавливать скомпрометированные зависимости, часто неотличимые от легитимных.

Колоссальный масштаб экосистемы JavaScript представляет собой беспрецедентную поверхность атаки, что делает ее неотразимой целью для широкомасштабной компрометации. npm, менеджер пакетов по умолчанию в экосистеме, теперь содержит более 2,5 миллионов пакетов и обрабатывает миллиарды еженедельных загрузок. Эта огромная взаимосвязанность означает, что одна скомпрометированная зависимость или вредоносный пакет может быстро заразить бесчисленные проекты и организации по всему миру, что приведет к катастрофическим нарушениям безопасности.

Существует удивительно простая, но мощная защита от потока атак на цепочку поставок npm: внедрение минимального возраста выпуска пакета. Этот «период охлаждения» действует как дешевая, высокоэффективная мера безопасности, не требующая затрат на развертывание, но предлагающая значительную защиту. Он предотвращает немедленную установку только что опубликованного кода, что является распространенным вектором для первоначальной компрометации.

Вот как это работает: ваш менеджер пакетов, будь то npm, pnpm или Bun, извлекает последнюю версию пакета, которая соответствует вашему требованию по возрасту, а не ту, что была опубликована несколько мгновений назад. Например, если вы установите минимум в 24 часа, ваша система сборки будет игнорировать любой пакет, выпущенный в течение этого дня. Это обеспечивает критическую задержку, обходя наиболее уязвимое окно для новых, непроверенных выпусков.

Эта простая конфигурация оказывается очень эффективной против быстрых инцидентов типа «smash-and-grab». Она создает критический временной буфер, позволяя инструментам безопасности, автоматическим сканерам и бдительному сообществу открытого исходного кода обнаруживать и помечать вредоносные пакеты до того, как они заразят вашу среду. pnpm даже устанавливает минимальный возраст выпуска по умолчанию в один день — надежную базовую линию, которую должны перенять другие.

Внедрение минимального возраста выпуска обеспечивает быстрое и эффективное обновление безопасности. Это изменение с низкими затратами значительно снижает подверженность новым вредоносным пакетам. Вот как заблокировать вашу настройку для популярных менеджеров пакетов JavaScript.

Для npm примените `min-release-age` в вашем глобальном файле `.npmrc`. Установка `min-release-age=7` обеспечивает семидневную задержку перед установкой новых пакетов — критическое окно для обнаружения угроз. Убедитесь, что ваш npm CLI имеет версию 11.10.0 или новее, чтобы использовать эту жизненно важную защиту.

pnpm настраивает `minimumReleaseAge` в `pnpm-workspace.yaml` или в своей глобальной конфигурации, но указывает значение в минутах. Семидневная задержка требует `minimumReleaseAge: 10080`. Примечательно, что pnpm устанавливает надежное значение по умолчанию в 24-часовой период ожидания, лидируя в области проактивной безопасности. Более подробную информацию можно найти на Mitigating supply chain attacks | pnpm.

Bun, игнорируя согласованность экосистемы, использует секунды для своего `minimumReleaseAge`. Добавьте `minimumReleaseAge = 604800` в раздел `[install]` вашего `bunfig.toml` для семидневной задержки. Это несоответствие единиц измерения между npm, pnpm и Bun подчеркивает своеобразный, хотя и незначительный, момент трения для разработчиков.

Эта простая конфигурация гарантирует, что ваши установки будут отдавать предпочтение проверенным, утвержденным версиям, значительно снижая ваш профиль риска в отношении зарождающихся атак на цепочки поставок.

Минимальный возраст выпуска обеспечивает мощную, не требующую больших усилий защиту, блокируя значительный процент оппортунистических атак на цепочки поставок. Однако эта важная настройка функционирует лишь как один из слоев в надежной, многогранной стратегии безопасности. Ни одна отдельная конфигурация не является полным решением против динамичного ландшафта угроз атак на цепочки поставок программного обеспечения.

Разработчики должны интегрировать эту защиту с несколькими другими незаменимыми практиками. Всегда фиксируйте и используйте lockfiles (например, `package-lock.json`, `pnpm-lock.yaml`), чтобы гарантировать, что каждая установка приводит к идентичным деревьям зависимостей, предотвращая недетерминированные сборки. Крайне важно запускать `npm ci` во всех конвейерах CI/CD; эта команда выполняет чистую установку непосредственно из lockfile, минуя разрешение пакетов и гарантируя точные, повторяемые установки зависимостей. Кроме того, регулярно проверяйте зависимости проекта на наличие известных уязвимостей с помощью таких инструментов, как Snyk или `npm audit`, для выявления и устранения рисков.

Помимо индивидуальных конфигураций проектов, жизненно важны более широкие улучшения безопасности на уровне экосистемы. Такие платформы, как GitHub, активно продвигают усиление безопасности учетных записей разработчиков, включая обязательную FIDO-based 2FA и внедрение trusted publishing через OpenID Connect (OIDC). Эти инициативы напрямую затрагивают основные векторы многих атак на цепочки поставок: скомпрометированные учетные записи разработчиков и украденные учетные данные. Предотвращая несанкционированную загрузку пакетов на источнике, эти достижения значительно повышают уровень безопасности всей экосистемы открытого исходного кода.

Что такое минимальный возраст выпуска для пакетов npm?

Это настройка безопасности, которая предотвращает установку вашим менеджером пакетов совершенно новой версии пакета в течение настроенного периода (например, 7 дней), избегая недавно опубликованного вредоносного кода.

Почему задержка установки пакета является хорошей мерой безопасности?

Большинство вредоносных пакетов обнаруживаются и удаляются из реестра в течение нескольких часов или дней. Задержка, или «период охлаждения», гарантирует, что вы не установите их в течение этого критического окна высокого риска.

Все ли основные менеджеры пакетов поддерживают эту функцию?

Да. npm использует `min-release-age` (дни), pnpm использует `minimumReleaseAge` (минуты), Bun использует `minimumReleaseAge` (секунды), а Yarn использует `npmMinimalAgeGate`.

Какой возраст выпуска рекомендуется установить?

Общая рекомендация — 7 дней для консервативного подхода. pnpm теперь по умолчанию устанавливает 24 часа, что также является сильной базой для предотвращения большинства атак типа «хватать и бежать».