NPM has more than 11 million users worldwide. Image: NPM/GitHub

နာမည်ကြီး JavaScript package manager ဖြစ်တဲ့ NPM ကို အသုံးပြုသော developer တွေက ယခုအခါ recovery method အဖြစ် ၎င်းတို့ရဲ့ Twitter နှင့် GitHub အကောင့် တွေကို software နှင့် ချိတ်ဆက် နိုင်တော့မှာပဲ ဖြစ်ပါတယ်။ GitHub-owned package manager အတွက် ပိုမို ကောင်းမွန်တဲ့ security နှင့် အသုံးပြုနိုင်စွမ်းကို ပေါင်းစပ်ဖို့ ရည်ရွယ်ထားတဲ့ အခြား features တွေ နှင့်အတူ အဆိုပါ ပြောင်းရွှေ့မှုကို အင်္ဂါနေ့က ကြေညာခဲ့ ပါတယ်။

ဘလော့ဂ်ပို့စ် တစ်ခုမှာ အပြောင်းအလဲတွေဟာ သုံးစွဲသူတွေ အတွက် ဝန်ထုပ်ဝန်ပိုး ဖြစ်စေတဲ့ security features အချို့ကို လွယ်ကူ ချောမွေ့ စေပြီး အသုံးပြုသူတွေ အတွက် ၎င်းတို့ရဲ့ အကောင့်တွေကို လုံခြုံစေမယ်ဟု GitHub က ပြောကြား ခဲ့ပါတယ်။

” JavaScript community က တစ်ရက်လျှင် npm မှ packages ပေါင်း 5 ဘီလီယံကျော်ကို ဒေါင်းလုဒ် လုပ်ကြပြီး GitHub မှ developer တွေက ၎င်းကို ယုံကြည် စိတ်ချစွာ လုပ်ဆောင်နိုင်တာက ဘယ်လောက် အရေးကြီးတယ် ဆိုတာကို အသိအမှတ် ပြုပါတယ် ” ဟု GitHub ထုတ်ကုန် မန်နေဂျာ Myles Borins နှင့် Monish Mohan မှ ရေးသားခဲ့သည် ပါတယ် ။ “npm registry ရဲ့ registry အနေဖြင့် developer ရဲ့ ယုံကြည်မှုနှင့် registry ကိုယ်တိုင်ရဲ့ လုံခြုံရေး အားလုံးကို တိုးမြင့် လာစေတဲ့ တိုးတက်မှုတွေမှာ ဆက်လက် ရင်းနှီးမြှုပ်နှံဖို့ အရေးကြီး ပါတယ်။” ဟု ထပ်မံ ပြောကြခဲ့ ပါတယ်။

Twitter နှင့် GitHub အကောင့်တွေကို အထောက်အထား စိစစ်ခြင်းနည်းလမ်း (authentication method) အဖြစ် ချိတ်ဆက်နိုင်တဲ့ အပြင် NPM တွင် အကောင့် ဝင်ခြင်းနှင့် package ဖြန့်ချိခြင်း အတွက် two-factor authentication (2FA) ကို အသုံးပြုခြင်းက ပိုမို လွယ်ကူစေမှာ ဖြစ်ကြောင်း GitHub မှ ကြေငြာခဲ့ ပါတယ်။

ဘလော့ဂ်ပို့စ် အရ NPM က public beta release မှာ အဆင့်မြှင့် တင်ထားတဲ့ 2FA logins တွေကို အသုံးပြုမှုကို ယခင်က စမ်းသပ်ခဲ့ ဖူးသော်လည်း community မှ အကြံပြုချက် ပြီးနောက်၊ အသုံးပြုသူ ပိုမို အဆင်ပြေစေဖို့ အတွက် အချို့သော features တွေကို ပြုပြင် ပြောင်းလဲသင့်တယ်ဟု ဆုံးဖြတ်ခဲ့ပါတယ်။ ၎င်းတွင် 2FA prompts တွေကို အချိန်တို အတွင်း ပိတ်နိုင်စေဖို့ “remember me for 5 minutes” option မှာ ထည့်သွင်းခြင်း ပါဝင်သည် ပါတယ်။

“2FA ကို အသုံးပြုခြင်းဖြင့် အကောင့် လုံခြုံရေးက သိသိသာသာ တိုးတက်လာ ပါတယ်။ သို့သော် အတွေ့အကြုံက သဘောထား ကွဲလွဲမှုများစွာ တိုးလာပါက၊ သုံးစွဲသူတွေက ၎င်းကို လက်ခံဖို့ ကျွန်ုပ်တို့ မျှော်လင့်နိုင်မှာ မဟုတ်” ဟု Borins နှင့် Mohan မှ ရေးသားခဲ့ ပါတယ် ။ “ကျွန်ုပ်တို့ရဲ့ 2FA အတွေ့အကြုံအသစ်က အစောပိုင်း အသုံးပြုသူတွေက npm CLI ဖြင့် ဝင်ရောက်ခြင်းနှင့် ထုတ်ဝေခြင်း လုပ်ငန်းစဉ် တစ်လျှောက် တုံ့ပြန်ချက် မျှဝေခဲ့ကြပြီး တိုးတက်မှုအတွက် နေရာရှိတယ် ဆိုတာကို ကျွန်ုပ်တို့ အသိအမှတ် ပြုပါတယ်။” ဟု ထပ်မံ ရေးသားခဲ့ ပါတယ်။

ပိုမိုကောင်းမွန်သော security features တွေကို ဇူလိုင် ၂၆ ရက်က ထုတ်ပြန်ခဲ့သော NPM 8.15.0 မှာ ရနိုင်တယ်ဟု ပို့စ်က ပြောထား ပါတယ်။

GitHub and Twitter accounts can now be used as recovery options for NPM. Image: GitHub/NPM

JavaScript programming language အတွက် open-source software ecosystem ရဲ့ အဓိက အစိတ်အပိုင်း တစ်ခု အနေဖြင့် NPM က နှစ်တွေ အတွင်း အန္တရာယ်ရှိတဲ့ actors များစွာရဲ့ ပစ်မှတ် ထားခံ ခဲ့ရပါတယ်။ တိုက်ခိုက်သူတွေက package publishers တွေထံ စာရင်းသွင်းထားတဲ့ သက်တမ်းလွန် domains တွေကို ဝယ်ယူခြင်းဖြင့် package တွေ အတွက် password reset emails တွေကို လက်ခံရရှိဖို့ အသုံးပြုနိုင်တဲ့ email accounts တွေကို စနစ် ထည့်သွင်းဖို့ အဓိက ဗျူဟာတွေထဲမှ တစ်ခုမှာ တိုက်ခိုက်သူတွေက package တွေကို ထိန်းချုပ်ဖို့ပဲ ဖြစ်ပါတယ်။ ၎င်းကြောင့် NPM အကောင့်တွေသို့ အကောင့်ဝင်ရောက်တဲ့ အခါ 2FA အသုံးပြုမှုကို တိုးမြှင့်ခြင်းဟာ security ဆိုင်ရာ တိုးတက်မှုတွေကို ဖန်တီးဖို့ ရပ်တည်ချက်ပဲ ဖြစ်ပါတယ်။

NPM ရဲ့ parent company ဖြစ်သော GitHub က ပိုမိုကြီးမားသော parent company မှာ security ကို မြှင့်တင်ဖို့ လုပ်ဆောင် နေပါတယ်။ ယခုနှစ် အစောပိုင်းမှာ ကုမ္ပဏီမှ code ပံ့ပိုးပေးသူ အားလုံးဟာ 2023 နှစ်ကုန်ပိုင်းတွင် 2FA ပုံစံ အချို့ကို ဖွင့်ထားဖို့ လိုအပ်ကြောင်း ကုမ္ပဏီက ကြေညာခဲ့ ပါတယ်။

Reference: The Verge

သတင်းဆောင်းပါးများ ဖတ်ရှုနိုင်ရန် နှင့်ရသစုံ ဗီဒီယိုများကို လက်မလွတ်တမ်း ကြည့်ရှုနိုင်ရန် Mitelar Facebook Page , Mitelar Website နှင့် Mitelar Youtube Channel တို့တွင် အသေးစိတ် ဝင်ရောက်လေ့လာကြည့်ရှုနိုင်ပြီး Like နဲ့ Followလေးလုပ်ထားဖို့လဲမမေ့ပါနဲနော်…။