Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte „Shai-Hulud“ Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Classic Tokens werden sehr bald beerdigt

Die sogenannten „Classic Tokens“ zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: „Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit.“ Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für „Classic Tokens“ die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Ausblick: Trusted Publishing

Künftig sollen, so GitHubs Wunsch, Paketverwalter auf den Ansatz des „trusted publishing“ schwenken und auf langlebige Zugriffstoken ganz verzichten. Stattdessen sollen anlassbezogene Zugriffsrechte über den CI/CD-Anbieter, also etwa GitHub Actions oder GitLab CI/CD vergeben werden. Das verhindere, dass Token abhandenkommen und führe auch zu besserer Nachvollziehbarkeit, so das Unternehmen im Blog.

(cku)

Wardley Maps sind ein visuelles Werkzeug, das dabei unterstützen kann, Systeme im strategischen Zusammenhang zu betrachten und Entscheidungen bewusster zu treffen. In dieser Episode von Eberhard Wolffs Videcoast zeigt Markus Harrer, wie sich mit Wardley Mapping Abhängigkeiten in Softwaresystemen nachvollziehbarer darstellen lassen und wie es helfen kann, Architekturentscheidungen besser einzuordnen.

Darüber hinaus macht Markus Harrer anhand von Beispielen aus der Legacy-Modernisierung deutlich, wie diese Technik genutzt werden kann, um Diskussionen über den Umgang mit gewachsenen Systemen anzuregen und neue Blickwinkel darauf zu eröffnen. Teilnehmende erhalten Anregungen, wie Wardley Maps im Alltag eine strukturiertere und entspanntere Auseinandersetzung mit Softwaresystemen ermöglichen können.

Livestream am Freitag, 17. Oktober

Die Ausstrahlung findet am Freitag, 17. Oktober 2025, live von 13 bis 14 Uhr statt. Die Folge steht im Anschluss als Aufzeichnung bereit. Während des Livestreams können Interessierte Fragen via Twitch-Chat, YouTube-Chat, Bluesky, Mastodon, Slack-Workspace oder anonym über das Formular auf der Videocast-Seite einbringen.

software-architektur.tv ist ein Videocast von Eberhard Wolff, Blogger sowie Podcaster auf iX und bekannter Softwarearchitekt, der als Head of Architecture bei SWAGLab arbeitet. Seit Juni 2020 sind über 250 Folgen entstanden, die unterschiedliche Bereiche der Softwarearchitektur beleuchten – mal mit Gästen, mal Wolff solo. Seit mittlerweile mehr als zwei Jahren bindet iX (heise Developer) die über YouTube gestreamten Episoden im Online-Channel ein, sodass Zuschauer dem Videocast aus den Heise Medien heraus folgen können.

Weitere Informationen zur Folge finden sich auf der Videocast-Seite.

(mdo)

Im Rahmen der ViteConf hat das Entwicklungsteam von Vite das neue Projekt Vite+ angekündigt – ein Kommandozeilen-Entwicklertool als Drop-in-Upgrade für Vite mit zusätzlichen Features. Evan You, Entwickler des JavaScript-Frameworks Vue.js und des Frontend-Build-Tools Vite.js, teilt weitere Informationen dazu in einem Blogeintrag.

Einheitliche JavaScript-Toolchain als Ziel

Wie Evan You ausführt, haben sich im JavaScript-Umfeld die Tooling-Komplexität und die Performance für Unternehmen als Flaschenhälse herausgestellt, da sie angesichts immer größerer Webanwendungen mit limitierten internen Tooling-Ressourcen umgehen müssen.

Insbesondere in Unternehmen mit mehreren Teams, die ihre jeweils eigene Toolauswahl treffen, seien diese Flaschenhälse gravierender. Beispielsweise müssten Dependency-Management und Security-Review in jedem Team einzeln gehandhabt werden, und sollten Teams oder Projekte einmal zusammengeführt werden, könne das in einem „Frankensteined Tool Stack“ enden. Hier setzt Vite+ an, um ein einheitliches JavaScript-Tooling bereitzustellen.

Die Features: Unit Tests, Linting, Bundling und mehr

Vite+ wird sich ebenso wie Vite via npm beziehen lassen. Neben vite dev und vite build bietet es zusätzliche Möglichkeiten:

• vite new für das Scaffolding neuer Projekte mit einer für Vite+ empfohlenen Struktur
• vite test für Vitest-basierte Unit Tests und mit Jest-kompatibler API
• vite lint für das Code-Linting mittels Oxlint
• vite fmt zur Code-Formatierung mit dem noch nicht veröffentlichten Oxfmt
• vite lib für das tsdown- und Rolldown-basierte Bundling von Libraries
• vite run als integrierter Monorepo-Task-Runner mit intelligentem Caching
• vite ui als GUI-Devtools für Einblicke in Modul-Resolve/-Transform-Verhalten, Bundle-Größen-/Tree-Shaking-Analyse und mehr

Dabei ist Vite+ dank dem Vite-Ökosystem mit React, Vue, TanStack Start, SvelteKit und weiteren Frameworks kompatibel. Die komplette Compiler-Toolchain von Vite+ hat das Vite-Team in Rust implementiert und auf jedem Level – von Parser über Resolver und Transformer bis hin zu Minifier und Bundler – an der Performance gefeilt.

Kostenfrei für Open-Source-Projekte – aber nicht im Enterprise-Umfeld

Für individuelle Entwicklerinnen und Entwickler, Open-Source-Projekte und kleine Unternehmen soll Vite+ kostenfrei sein. Start-ups und größere Unternehmen werden dagegen zur Kasse gebeten. Weitere Details hierzu sollen folgen, wenn der Veröffentlichungstermin näher rückt. Eine öffentliche Preview ist für Anfang 2026 in Planung. Interessierte können sich bereits via Vite+-Website anmelden, um das Vite-Superset in einem Early-Access-Programm zu testen.

Weitere Informationen lassen sich der Ankündigung auf dem VoidZero-Blog entnehmen.

(mai)