看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!
最近,npm 注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,比如 require-from-string
。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用npm 的项目中。
按照官方报告的说法,这次意外事件的根本原因在于错误地将名为“floatdrop”的用户移除,并使他们的包无法查找和下载。之所以做出这样的决策是因为发布了一个包含垃圾软件的包,该包中还包含了floatdrop 的合法包 timed-out
的 README。因为匹配了 README,所以 npm 的反垃圾系统将 floatdrop 标记为垃圾包,随后导致了移除用户及其所有的包的操作。
npm 快速发现 floatdrop 确实是一个合法的用户,并且他们的有些包被高度使用,所以他们立即采取行动恢复所有的包。但就在这个过程所需的短短时间内,有一些与删除包名称相同的新包发布了,并且安装数目不详。
尽管 npm 的员工确认所有这些上传的替代包并非恶意的,但是这种事件有可能会给 npm 用户的项目注入恶意代码。需要注意的是,npm 确实有一个策略,用来防止发布时间超过24 小时的包被删除掉,其目的在于让其他人无法重用这些包的名字,但是这项策略之前并没有应用到垃圾软件包的删除上。这样做的理由是不想让垃圾软件妨碍合法名称的使用。
作为对这起事件的回应,npm 的员工采取了几项措施,其中最重要的就是对所有删除的包名有一个24 小时的冷却(cooldown)时间,这项策略也包括含有垃圾内容的包。这样的话,通过替换已删除的包来注入恶意代码会变得更困难,但是如果有人试图重用合法的包名的话,这需要npm 的员工在24 小时的时间窗口内恢复该包名。
另外,npm 的员工将会建立一系列的指导文档,让合法包名的误删更加难以出现。读者可以在原始博客文章中了解更多信息。
评论