Адам Болдуин (Adam Baldwin), возглавляющий команду, отвечающую за безопасность репозитория NPM, опубликовал статистику, подготовленную по итогам прошлого года:
- Несмотря на продолжающиеся инциденты с захватом репозиториев NPM, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию;
- При регистрации 13.37% новых учётных записей пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей по данным сервиса haveibeenpwned.com;
- В прошлом году было отозвано 737 токенов NPM, которые по ошибке были опубликованы в реестре пакетов NPM или в публично доступных репозиториях на GitHub;
- Предотвращена кража 13 миллионов долларов в криптовалюте, благодаря выявлению попытки интеграции бэкдора в кошелёк Komodo Agama;
- Общее число отчётов о проблемах с безопасностью в базе NPM достигло 1285, из которых 595 отчётов были подготовлены в 2019 году. Через security@npmjs.com было получено 2.2 тысячи уведомлений о наличии уязвимостей;
- За год антиспам-системой заблокировано 11526 транзакций, в том числе связанных с попыткой продвижения рекламы торрентов и фильмов;
- Системой анализа аномального поведения сгенерировано 1.4 млн отчётов, запрошенных через API, охватывающих 15.6 ТБ данных с информацией об анализе поведения.
