أعلن GitHub عن إطلاق مدير الحزم NPM 8.15، المتضمن مع Node.js والمستخدم لتوزيع وحدات JavaScript. ويلاحظ أنه يتم تنزيل أكثر من 5 مليارات حزمة عبر NPM يوميًا.
التغييرات الرئيسية:
- تمت إضافة أمر "توقيعات التدقيق" الجديد لإجراء تدقيق محلي لسلامة الحزم المثبتة، وهو ما لا يتطلب معالجة باستخدام أدوات PGP المساعدة. تعتمد آلية التحقق الجديدة على استخدام التوقيعات الرقمية بناءً على خوارزمية ECDSA واستخدام HSM (وحدة أمان الأجهزة) لإدارة المفاتيح. تمت بالفعل إعادة توقيع جميع الحزم الموجودة في مستودع NPM باستخدام المخطط الجديد.
- تم الإعلان عن المصادقة الثنائية المحسنة باعتبارها متاحة على نطاق واسع. تمت إضافة عملية تسجيل دخول ونشر مبسطة إلى npm CLI، والتي تعمل من خلال المتصفح. عند تحديد الخيار "—auth-type=web"، يتم استخدام واجهة الويب المفتوحة في المتصفح لمصادقة الحساب. يتم تذكر معلمات الجلسة. لإنشاء جلسة، تحتاج إلى تأكيد بريدك الإلكتروني باستخدام كلمات مرور لمرة واحدة (OTP)، وعند إجراء العمليات في جلسات محددة بالفعل، تحتاج فقط إلى تأكيد المرحلة الثانية من المصادقة الثنائية. يتم توفير وضع التذكر، مما يسمح لك بتنفيذ عمليات النشر في غضون 5 دقائق من نفس عنوان IP وبنفس الرمز المميز دون مطالبات مصادقة ثنائية إضافية.
- توفير القدرة على ربط حسابات GitHub وTwitter بـ NPM، مما يسمح لك بالاتصال بـ NPM باستخدام حسابات GitHub وTwitter الخاصة بك.
تشير الخطط الإضافية إلى تضمين المصادقة الثنائية الإلزامية للحسابات المرتبطة بالحزم التي تحتوي على أكثر من مليون عملية تنزيل أسبوعيًا أو التي تحتوي على أكثر من 1 حزمة تابعة. في الوقت الحالي، يتم تطبيق المصادقة الثنائية الإلزامية فقط على أفضل 500 حزمة.
المصدر: opennet.ru