GitHub het die vrystelling van die NPM 8.15-pakketbestuurder aangekondig, ingesluit by Node.js en wat gebruik word om JavaScript-modules te versprei. Daar word opgemerk dat meer as 5 miljard pakkette elke dag deur NPM afgelaai word.
Sleutelveranderinge:
- 'n Nuwe "oudithandtekeninge"-opdrag is bygevoeg om 'n plaaslike oudit van die integriteit van geïnstalleerde pakkette uit te voer, wat nie manipulasies met PGP-hulpprogramme vereis nie. Die nuwe verifikasiemeganisme is gebaseer op die gebruik van digitale handtekeninge gebaseer op die ECDSA-algoritme en die gebruik van HSM (Hardware Security Module) vir sleutelbestuur. Alle pakkette in die NPM-bewaarplek is reeds heronderteken met die nuwe skema.
- Verbeterde tweefaktor-verifikasie is beskikbaar verklaar vir wydverspreide gebruik. Het 'n vereenvoudigde aanmeld- en publikasieproses by die npm CLI gevoeg, wat deur die blaaier loop. Wanneer jy die "—auth-type=web" opsie spesifiseer, word 'n webkoppelvlak wat in 'n blaaier oopmaak gebruik om die rekening te verifieer. Sessieparameters word onthou. Om 'n sessie te vestig, moet jy jou e-pos bevestig deur eenmalige wagwoorde (OTP) te gebruik, en wanneer jy bewerkings in reeds gevestigde sessies uitvoer, hoef jy net die tweede fase van twee-faktor-verifikasie te bevestig. 'n Onthoumodus word voorsien, wat jou toelaat om publiseerbewerkings binne 5 minute vanaf dieselfde IP en met dieselfde teken uit te voer sonder bykomende twee-faktor-verifikasie-aanwysings.
- Verskaf die vermoë om GitHub- en Twitter-rekeninge aan NPM te koppel, sodat jy met jou GitHub- en Twitter-rekeninge aan NPM kan koppel.
Verdere planne noem die insluiting van verpligte twee-faktor-verifikasie vir rekeninge wat verband hou met pakkette wat meer as 1 miljoen aflaaie per week het of meer as 500 afhanklike pakkette het. Tans word verpligte twee-faktor-verifikasie slegs op die top 500 pakkette toegepas.
Bron: opennet.ru