Ce dépôt GitHub propose une collection de bonnes pratiques pour sécuriser l'utilisation du gestionnaire de paquets npm, face aux risques croissants d'attaques par la chaîne d'approvisionnement. Il met l'accent sur des mesures comme la désactivation des scripts post-installation, l'installation avec délai pour éviter les dépendances vulnérables, et l'utilisation d'outils comme npq ou Socket Firewall pour renforcer la sécurité lors des installations. Une section est dédiée à la prévention des attaques par confusion de dépendances, un vecteur d'attaque récurrent exploitant les lacunes des gestionnaires de paquets.
Le guide couvre également des pratiques pour le développement local sécurisé, comme éviter les secrets en clair dans les fichiers .env, et des recommandations pour les mainteneurs de paquets npm, incluant l'activation de la double authentification (2FA) et l'utilisation de l'authentification OIDC pour les publications. Il aborde aussi la vérification de la santé des paquets via des bases de données comme celle de Snyk et la méfiance envers le registre officiel npmjs.org.
Enfin, il propose des solutions pour différents gestionnaires de paquets (npm, pnpm, Bun, Yarn) et inclut des outils automatisés comme Snyk, Dependabot ou Renovate pour gérer les mises à jour de dépendances de manière sécurisée.
Ce billet explique comment sécuriser une application Symfony avec une double authentification (2FA) robuste en utilisant le bundle SchebTwoFactorBundle. L'auteur décrit une architecture sécurisée où le secret TOTP est géré côté backend, avec une implémentation stricte utilisant des classes anonymes en lecture seule pour encapsuler la configuration TOTP. Il met en avant l'importance de ne pas réinventer la crypto et de déléguer la gestion de la 2FA à une bibliothèque éprouvée pour éviter les failles d'implémentation. L'article détaille également la configuration du bundle et les bonnes pratiques à adopter pour une sécurité optimale.
L'article explique ce qu'est l'authentification multifacteur (2FA ou MFA), à quel besoin elle répond sur quels fondements elle repose. Il décrit aussi sa mise en place côté utilisateur.
L'auteur montre comment implémenter la double authentification dans Symfony, en utilisant quelques dépendances externes :
- OTPHP - une librairie qui permet de gérer les TOTP, mots de passe à usage unique basés sur le temps
- Endroid/QrCode - pour générer les QR codes
- Scheb/2fa-bundle - le bundle de double authentification de Symfony
Tout est dans le titre
Tout est dans le titre
Une application libre pour l'authentification à 2 facteurs
Tout est dans le titre
Tout est dans le titre
Je cite l'auteur sur le début de ses déboires "Je me retrouve à devoir récupérer un mail sur le domaine cassé pour pouvoir réparer le domaine cassé."
Pas simple...
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre
Tout est dans le titre