发布日期:2017 年 2 月 24 日,作者:Sebastian McKenzie
Yarn 使用自己的代理访问 npm 注册表,以便我们试验 Yarn 客户端的工作方式,并针对将来如何解析软件包进行优化。该注册表默认情况下由所有 Yarn 用户使用。
为此,我们使用了备受欢迎的服务 Cloudflare,该服务已被数千家公司使用,该公司提出与我们合作以加快全球 Yarn 的安装速度。
最近有 报道称 Cloudflare 出现了严重错误,导致来自其他网站的请求泄漏到 HTTP 响应中。
在注册表认证方面,Yarn 客户端与 npm 客户端不同,原因在于当我们进行认证时,不会存储产生的令牌,而是在使用后使其失效。
但是,Yarn 仍然允许你使用自己的 npm 账户登录,以执行发布和下载私有软件包等操作。在每天执行的 7000 万个请求中,只有 10-30 个请求涉及注册表认证。这意味着对于这些请求,存在用户密码泄漏的可能性。
自从 Cloudflare 发布公告以来,我们一直保持联系,并得到了确保 Yarn 未受影响且没有 Yarn 用户数据泄漏的保证。即使有此保证,我们还是建议,对于每天使用 Yarn 进行注册表认证的 30 个用户中的一个用户,都应作为预防措施重置密码。
因此,我们正在评估安全策略,并创建了一个新的电子邮件地址 security@yarnpkg.com,可用于报告安全漏洞,而无需通过公共问题追踪器。我们还在设置 HackerOne 账户,并将在此账户可用时发布公告。
我们对由此带来的不便深表歉意,并希望在类似情况下重申我们对安全和透明度的承诺。