Selon la référence fournie (Socket.dev, blog), npm lance « Trusted Publishing » basé sur OpenID Connect (OIDC) pour tous les utilisateurs, afin de sécuriser la publication de packages JavaScript dans un contexte de récentes attaques de supply chain ayant exploité des tokens de mainteneurs compromis.
🔐 Points clés:
- Passage à des identifiants éphémères et cryptographiquement sécurisés qui expirent après chaque publication, évitant les tokens longue durée en CI/CD.
- Génération automatique d’attestations de provenance (preuve cryptographique de l’identité du publieur et des métadonnées d’environnement de build) sans nécessiter l’option
--provenance. - Objectif: réduire les risques d’attaques de la chaîne d’approvisionnement liés au vol/abus de secrets dans les pipelines.
🧰 Intégration et prérequis:
- Compatibilité avec GitHub Actions et GitLab CI/CD.
- Nécessite npm CLI v11.5.1 ou plus récent.
- Configuration unique sur npmjs.com en spécifiant les combinaisons de workflows de confiance: organisation, dépôt, fichier de workflow, environnement.
💡 Contexte et intention:
- L’annonce intervient après des attaques npm ayant tiré parti de tokens mainteneurs compromis.
- Elle promeut un modèle zero-secrets pour l’authentification de publication dans les pipelines CI/CD.
Type d’article: mise à jour de produit visant à renforcer la sécurité de la chaîne d’approvisionnement npm et la confiance dans le processus de publication 📦.
🔗 Source originale : https://socket.dev/blog/npm-trusted-publishing