npm में सुरक्षा हमला, लाखों ऐप्स प्रभावित
मूल शीर्षक: ‘No Way To Prevent This,’ Says Only Package Manager Where This Regularly Happens | Kevin Patel
यह क्यों महत्वपूर्ण है
JavaScript ecosystem की security कमजोरियां modern web development की व्यापक समस्या को उजागर करती हैं।
npm रजिस्ट्री में supply chain हमले से लाखों enterprise एप्लिकेशन समझौता हुए और अरबों user रिकॉर्ड उजागर हुए। JavaScript डेवलपर्स का कहना है यह अपरिहार्य था। Go, Rust जैसे ecosystems अप्रभावित रहे।
npm रजिस्ट्री में हुए विनाशकारी supply chain हमले के बाद JavaScript ecosystem के डेवलपर्स ने इसे पूर्णतः अपरिहार्य बताया है। Senior Frontend Engineer Mark Vance का कहना है 'यह आधुनिक web apps बनाने की कीमत है।' हमले में एक परित्यक्त utility package पर कब्जा कर crypto-miner inject किया गया। npm spokesperson ने कहा 'हमें स्वीकार करना होगा कि बुरे actors मौजूद हैं।' दिलचस्प बात यह है कि Go, Rust और native Web APIs का उपयोग करने वाले ecosystems में कोई समस्या नहीं आई क्योंकि उनमें मजबूत standard libraries हैं और third-party code पर कम निर्भरता है। npm में default रूप से arbitrary installation scripts execute होते हैं जो security जोखिम बढ़ाता है।