Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов

Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов.

Ключевые изменения:

• Добавлена новая команда «audit signatures» для проведения локального аудита целостности устанавливаемых пакетов, не требующая манипуляций с утилитами PGP. Новый механизм верификации основан на применении цифровых подписей на базе алгоритма ECDSA и использовании HSM (Hardware Security Module) для управления ключами. Все пакеты в репозитории NPM уже переподписаны с использованием новой схемы.
• Объявлена доступной для повсеместного применения расширенная двухфакторная аутентификация. Добавлен упрощённый процесс входа и публикации в npm CLI, работающий через браузер. При указании опции «—auth-type=web» для аутентификации учётной записи используется web-интерфейс, открываемый в браузере. Параметры сеанса запоминаются. Для установки сеанса требуется подтвердить email при помощи одноразовых паролей (OTP), а при выполнении операций в уже установленных сеансах достаточно подтвердить второй этап двухфакторной аутентификации. Предоставляется режим запоминания, позволяющий в течение 5 минут выполнять операции публикации с того же IP и с тем же токеном без дополнительных запросов двухфакторной аутентификации.
• Предоставлена возможность привязки учётных записей GitHub и Twitter к NPM, позволяющая подключаться к NPM, используя учётные записи в GitHub и Twitter.

Из дальнейших планов упоминается включение обязательной двухфакторной аутентификации для учётных записей, связанных с пакетами, насчитывающими более 1 млн загрузок в неделю или имеющих более 500 зависимых пакетов. В настоящее время обязательная двухфакторная аутентификация применяется только для 500 самых популярных пакетов.

Источник: opennet.ru