أعلنت GitHub عن إطلاق ميزة جديدة في مدير حزم npm تهدف إلى تعزيز أمن سلسلة التوريد البرمجية. تتيح الميزة، التي تُعرف باسم “النشر المرحلي” (Staged Publishing)، للمحافظين (maintainers) القدرة على الموافقة صراحةً على إصدار حزمة قبل أن تصبح متاحة للجمهور للتثبيت.

كيف تعمل ميزة النشر المرحلي؟

تتطلب الميزة أن يقوم محافظ بشري باجتياز تحدي التحقق بخطوتين (2FA) للموافقة على الإصدار. هذا يعني أنه حتى إذا تم اختراق مفاتيح النشر الخاصة بالمشروع، فلن يتمكن المهاجم من نشر حزمة ضارة دون موافقة يدوية من المحافظ. الميزة متاحة الآن بشكل عام (GA) على npm.

أهمية الميزة لأمن سلسلة التوريد

تأتي هذه الخطوة في إطار جهود GitHub المستمرة لتحسين أمن سلسلة التوريد البرمجية، خاصة بعد الهجمات المتكررة التي استهدفت حزم npm في السنوات الأخيرة. من خلال إضافة طبقة إضافية من الأمان، يمكن للمحافظين تقليل مخاطر نشر حزم ضارة عن طريق الخطأ أو بسبب اختراق الحسابات.

تعد ميزة النشر المرحلي إضافة مهمة لأدوات الأمان المتاحة لمطوري JavaScript، حيث تجمع بين التحكم البشري والتحقق بخطوتين لضمان أن كل إصدار يتم مراجعته والموافقة عليه بشكل صريح.

الخلاصة

مع تزايد الهجمات على سلسلة التوريد، تقدم GitHub حلاً عملياً لمجتمع npm. النشر المرحلي مع 2FA يمنح المحافظين سيطرة أكبر على عملية النشر، مما يعزز الثقة في الحزم المتاحة للمطورين.