En respuesta a una escalada de ataques a la cadena de suministro en el ecosistema de código abierto, Composer y Packagist han actualizado sus protocolos de seguridad. Los incidentes más recientes, como los contra los paquetes laravel-lang e intercom/intercom-php, han impulsado esta revisión para proteger a los desarrolladores de cuentas de GitHub comprometidas y tokens robados.
La actualización incluye la integración de detección de malware y un registro de transparencia público para rastrear modificaciones en etiquetas de git. Esta semana, se lanzará Composer 2.10 con políticas de dependencia unificadas y la inmutabilidad de versiones estables. A futuro, se implementará la visibilidad del estado de autenticación de dos factores (MFA) en los perfiles de mantenedores y herramientas de administración mejoradas para frenar compromisos de cuentas.
Estas medidas buscan reemplazar la respuesta manual por la prevención, asegurando que las versiones de software no puedan ser alteradas silenciosamente y que los consumidores puedan auditar la seguridad de sus dependencias.