Un token con ambito limitato è un token di accesso ristretto a specifiche azioni, pacchetti o organizzazioni npm. Anziché concedere l'accesso completo a livello di account, può essere limitato alla pubblicazione, alla lettura o alla gestione solo delle risorse di cui un flusso di lavoro ha bisogno.
Nella sicurezza informatica, i token con ambito limitato sono importanti perché riducono il raggio d'azione di un attacco. Se un token viene rubato da una macchina di sviluppo, da un job CI o da un archivio di secret, l'attaccante potrebbe essere in grado di colpire solo un pacchetto o una sola organizzazione anziché l'intero account. Negli attacchi alla supply chain di npm, i token di pubblicazione rubati sono spesso la chiave che consente a un attaccante di caricare versioni malevole. I difensori usano token con ambito limitato, durate brevi, autenticazione a due fattori e rotazione dei secret per rendere più difficile questo abuso e contenere i danni se una credenziale viene esposta.



