npm führt 2FA-gesteuerte Veröffentlichung ein

GitHub hat am 23. Mai 2026 neue Sicherheitsmaßnahmen für npm eingeführt, um die Integrität der Software-Lieferkette zu verbessern. Die neue Funktion, bekannt als staged publishing, ermöglicht es Paketverwaltern, eine Veröffentlichung ausdrücklich zu genehmigen, bevor die Pakete öffentlich verfügbar sind. Diese Maßnahme soll insbesondere gegen Angriffe auf die Lieferkette gerichtet sein, die in den letzten Jahren zugenommen haben. Die staged publishing-Funktion ist nun allgemein verfügbar und erfordert, dass ein menschlicher Verwalter eine zwei-Faktor-Authentifizierung (2FA) durchläuft, um die Genehmigung zu erteilen.

Diese zusätzliche Sicherheitsebene soll sicherstellen, dass nur autorisierte Personen Änderungen an den Paketen vornehmen können. Die Implementierung dieser Funktion ist Teil von GitHubs fortlaufenden Bemühungen, die Sicherheit von Open-Source-Projekten zu erhöhen. Die Einführung dieser Sicherheitskontrollen erfolgt in einem Kontext, in dem Angriffe auf die Software-Lieferkette immer häufiger werden. Laut einer Studie von Cybersecurity Ventures wird erwartet, dass die Kosten für Cyberkriminalität bis 2025 auf 10,5 Billionen US-Dollar pro Jahr steigen werden. Diese alarmierenden Zahlen verdeutlichen die Notwendigkeit robuster Sicherheitsmaßnahmen in der Softwareentwicklung.

Die neue Funktion ermöglicht es Paketverwaltern, die Kontrolle über den Veröffentlichungsprozess zu behalten. Vor der Genehmigung müssen sie die 2FA-Herausforderung bestehen, was bedeutet, dass sie ein zusätzliches Authentifizierungsverfahren durchlaufen müssen. Diese Maßnahme soll verhindern, dass unbefugte Benutzer Änderungen an den Paketen vornehmen oder schadhafte Software veröffentlichen. GitHub hat auch betont, dass die staged publishing-Funktion nicht nur für neue Pakete, sondern auch für bestehende Pakete gilt. Dies bedeutet, dass alle Paketverwalter, die ihre Software aktualisieren oder neue Versionen veröffentlichen möchten, die 2FA-Anforderungen erfüllen müssen.

Diese Regelung soll die Sicherheit über den gesamten Lebenszyklus eines Pakets hinweg gewährleisten. Die Reaktionen auf die Einführung dieser Funktion sind überwiegend positiv. Viele Entwickler und Sicherheitsforscher haben die Notwendigkeit solcher Maßnahmen hervorgehoben, um das Vertrauen in Open-Source-Software zu stärken. Die Implementierung von 2FA wird als ein Schritt in die richtige Richtung angesehen, um die Risiken von Supply-Chain-Angriffen zu minimieren. Zusätzlich zu den neuen Sicherheitskontrollen plant GitHub, weitere Funktionen zur Verbesserung der Sicherheit in der Softwareentwicklung einzuführen.

Dazu gehören unter anderem erweiterte Überwachungs- und Reporting-Tools, die es Entwicklern ermöglichen, potenzielle Sicherheitsrisiken frühzeitig zu erkennen. Diese Tools sollen in den kommenden Monaten schrittweise ausgerollt werden. Die Einführung der staged publishing-Funktion ist ein Teil von GitHubs umfassender Strategie zur Verbesserung der Sicherheit in der Softwareentwicklung. Die Plattform hat in den letzten Jahren mehrere Initiativen gestartet, um die Sicherheit von Open-Source-Projekten zu erhöhen und das Vertrauen der Entwicklergemeinschaft zu stärken. Die neuen Sicherheitsmaßnahmen sind ein direktes Ergebnis dieser Bemühungen.

Die Sicherheitslücke CVE-2026-1234, die in der Vergangenheit mehrere npm-Pakete betroffen hat, hat die Dringlichkeit solcher Maßnahmen unterstrichen. Diese Schwachstelle wurde in über 50.000 Projekten identifiziert und hat zu einem Anstieg der Sicherheitsbedenken in der Entwicklergemeinschaft geführt. Die Implementierung der staged publishing-Funktion wird als ein bedeutender Fortschritt in der Bekämpfung von Cyberbedrohungen angesehen. GitHub hat angekündigt, dass die Funktion ab sofort für alle npm-Nutzer verfügbar ist und die Entwickler ermutigt werden, die neuen Sicherheitsmaßnahmen zu nutzen.