Nach mehreren großangelegten Angriffswellen auf das NPM-Ökosystem ergreifen dessen Betreiber nun Maßnahmen, um eine Wiederholung zu verhindern. Im August und September hatten Unbekannte nicht nur mehrere Entwicklerkonten übernommen, sondern auch einen Wurm eingeschleust, der selbstständig weitere Node-Projekte infizierte. Um sich zu verbreiten, nutzte „Shai-Hulud“ Authentifizierungs-Token, denen es jetzt an den Kragen geht.

Die ersten Schritte ist NPM-Betreiber GitHub bereits gegangen – seit dem 13. Oktober sind granulare NPM-Zugriffstoken nicht mehr unbegrenzt lange, sondern nur noch maximal 90 Tage gültig, die Standardlaufzeit beträgt nun 7 statt 30 Tage. Eine Zwei-Faktor-Authentifizierung mittels TOTP (Time-based One-Time Password) kann für NPM-Paketverwalter nicht mehr neu eingerichtet werde. Wer TOTP bereits als zweiten Faktor zur Anmeldung nutzt, kann dabei vorerst bleiben, wird aber bald auf WebAuthn/Passkeys umstellen müssen.

Classic Tokens werden sehr bald beerdigt

Die sogenannten „Classic Tokens“ zur Authentifizierung (etwa in Automatisierungen oder CI/CD Pipelines) trägt GitHub bis Anfang November vollständig zu Grabe. Bestehende Token für NPM-Paketherausgeber zieht das Unternehmen ein und auf npmjs.com lassen sich künftig keine neuen mehr erstellen. Betroffene müssen sich umgehend um neue, granulare Token kümmern und ihre Automatisierungen aktualisieren, damit diese nach der Umstellung nicht vor die sprichwörtliche Wand laufen.

Mit diesen Schritten setzt GitHub eine Ankündigung aus Ende September teilweise in die Tat um – Entwickler und DevOps sind gefordert. Deren Verantwortung unterstreicht GitHub ausdrücklich: „Wir verstehen, dass diese Änderungen Aufwand von der Gemeinschaft verlangen. NPM abzusichern, ist eine geteilte Verantwortlichkeit.“ Die Änderungen verursachten vorübergehend Reibungen, seien aber notwendig, um künftigen Angriffen begegnen zu können.

Und gegenüber der September-Ankündigung tritt die zu Microsoft gehörende Entwicklerplattform sogar noch etwas mehr aufs Gaspedal: War dort noch von Mitte November als Löschzeitpunkt für „Classic Tokens“ die Rede, spricht GitHub in einer an Entwickler verschickten E-Mail von Anfang desselben Monats. Kurios: Obgleich erste Schritte bereits am Montag, dem 13. Oktober starteten, erhielten einige npm-Paketverantwortliche den Newsletter erst drei Tage später.

Ausblick: Trusted Publishing

Künftig sollen, so GitHubs Wunsch, Paketverwalter auf den Ansatz des „trusted publishing“ schwenken und auf langlebige Zugriffstoken ganz verzichten. Stattdessen sollen anlassbezogene Zugriffsrechte über den CI/CD-Anbieter, also etwa GitHub Actions oder GitLab CI/CD vergeben werden. Das verhindere, dass Token abhandenkommen und führe auch zu besserer Nachvollziehbarkeit, so das Unternehmen im Blog.

(cku)

Wardley Maps sind ein visuelles Werkzeug, das dabei unterstützen kann, Systeme im strategischen Zusammenhang zu betrachten und Entscheidungen bewusster zu treffen. In dieser Episode von Eberhard Wolffs Videcoast zeigt Markus Harrer, wie sich mit Wardley Mapping Abhängigkeiten in Softwaresystemen nachvollziehbarer darstellen lassen und wie es helfen kann, Architekturentscheidungen besser einzuordnen.

Darüber hinaus macht Markus Harrer anhand von Beispielen aus der Legacy-Modernisierung deutlich, wie diese Technik genutzt werden kann, um Diskussionen über den Umgang mit gewachsenen Systemen anzuregen und neue Blickwinkel darauf zu eröffnen. Teilnehmende erhalten Anregungen, wie Wardley Maps im Alltag eine strukturiertere und entspanntere Auseinandersetzung mit Softwaresystemen ermöglichen können.

Livestream am Freitag, 17. Oktober

Die Ausstrahlung findet am Freitag, 17. Oktober 2025, live von 13 bis 14 Uhr statt. Die Folge steht im Anschluss als Aufzeichnung bereit. Während des Livestreams können Interessierte Fragen via Twitch-Chat, YouTube-Chat, Bluesky, Mastodon, Slack-Workspace oder anonym über das Formular auf der Videocast-Seite einbringen.

software-architektur.tv ist ein Videocast von Eberhard Wolff, Blogger sowie Podcaster auf iX und bekannter Softwarearchitekt, der als Head of Architecture bei SWAGLab arbeitet. Seit Juni 2020 sind über 250 Folgen entstanden, die unterschiedliche Bereiche der Softwarearchitektur beleuchten – mal mit Gästen, mal Wolff solo. Seit mittlerweile mehr als zwei Jahren bindet iX (heise Developer) die über YouTube gestreamten Episoden im Online-Channel ein, sodass Zuschauer dem Videocast aus den Heise Medien heraus folgen können.

Weitere Informationen zur Folge finden sich auf der Videocast-Seite.

(mdo)

Das Softwareunternehmen JetBrains hat bekannt gegeben, dass es seine Editor-Erweiterung ReSharper in der Open VSX Registry veröffentlicht hat. Bislang war ReSharper für Microsofts Entwicklungsumgebung Visual Studio über den Visual Studio Marketplace verfügbar. Nun lässt sich das Codeanalyse- und Produktivitätstool für C#, Razor, Blazor und XAML via Open VSX Registry auch für Visual Studio Code, Cursor und weitere Editoren herunterladen und aktualisieren.

Automatische Updates

Zu diesem Schritt hat sich JetBrains laut der Ankündigung entschieden, um Nutzerinnen und Nutzern von Cursor, Windsurf und VSCodium die Verwendung von ReSharper zu erleichtern. Diese konnten ReSharper unter Umständen zwar nutzen, mussten dafür jedoch eine plattformspezifische .vsix-Datei herunterladen und bei jedem Versionsupdate eine neue ReSharper-Version manuell installieren. Aufgrund fehlender Update-Benachrichtigungen konnte es oft vorkommen, dass User bei älteren Versionen verblieben.

ReSharper in der Open VSX Registry

Bei der Open VSX Registry handelt es sich um ein quelloffenes Projekt der Eclipse Foundation, das eine Alternative zu Microsofts Visual Studio Marketplace darstellt. Seit Juni 2023 ist die Open VSX Working Group dafür zuständig. Nun gesellt sich auch ReSharper zu den dort vorhandenen Erweiterungen, derzeit als „Public Preview“ gekennzeichnet. ReSharper bietet unter anderem die Möglichkeit, Code-Issues mithilfe von Echtzeit-Vorschlägen zu erkennen und zu beheben sowie konsistente Analyseregeln über das gesamte Entwicklungsteam hinweg durchzusetzen.

Solange die Preview-Phase noch läuft, wird ReSharper kostenfrei verfügbar sein. Danach wird es Teil des dotUltimate-Abonnements werden, wobei auch eine kostenfreie Edition für die nicht kommerzielle Verwendung zur Wahl stehen soll.

Verschlankte Binaries

Da eine veröffentlichte Binary in der Open VSX Registry maximal 256 MB groß sein darf, war eine Architekturänderung erforderlich. Denn die ReSharper-.vsix-Datei für Windows ARM64 hatte eine Größe von 275 MB, und auch die anderen Versionen waren nicht weit von der Begrenzung entfernt und hätten diese künftig schnell überschreiten können. Daher entschloss sich JetBrains, einen leichtgewichtigeren Kern zu entwickeln, der größere Komponenten beim ersten Start vom JetBrains-Downloadserver herunterlädt. Dazu zählen der ReSharper Language Server und die .NET Runtime.

Die hieraus entstehenden Nachteile sind ein verlängerter erstmaliger Start der Extension und die einmalige Notwendigkeit einer bestehenden Internetverbindung mit unbeschränktem Zugang zum Server Nach erfolgreichem Download der Komponenten ist die Extension laut Anbieter auch ohne Internetverbindung voll funktionsfähig.

Feedback kann die Community unter dem JetBrains-Blogeintrag oder im Issue-Tracker auf YouTrack hinterlassen.

(mai)