ProHoster > Π‘Π»ΠΎΠ³ > balita sa internet > Ang NPM 8.15 package manager nga gipagawas nga adunay suporta alang sa lokal nga pagsusi sa integridad sa pakete

Ang NPM 8.15 package manager nga gipagawas nga adunay suporta alang sa lokal nga pagsusi sa integridad sa pakete

GitHub gipahibalo ang pagpagawas sa NPM 8.15 package manager, gilakip sa Node.js ug gigamit sa pag-apod-apod sa mga module sa JavaScript. Namatikdan nga labaw pa sa 5 bilyon nga mga pakete ang gi-download pinaagi sa NPM matag adlaw.

Pangunang mga kausaban:

  • Usa ka bag-ong "audit signatures" nga mando ang gidugang aron mahimo ang usa ka lokal nga pag-audit sa integridad sa mga na-install nga mga pakete, nga wala magkinahanglan mga manipulasyon sa mga utilities sa PGP. Ang bag-ong mekanismo sa verification gibase sa paggamit sa digital signatures base sa ECDSA algorithm ug sa paggamit sa HSM (Hardware Security Module) para sa key management. Ang tanan nga mga pakete sa NPM repository napirmahan na gamit ang bag-ong laraw.
  • Ang gipauswag nga two-factor authentication gideklarar nga magamit alang sa kaylap nga paggamit. Gidugang ang usa ka gipasimple nga proseso sa pag-login ug pagmantala sa npm CLI, nga nagdagan sa browser. Sa diha nga ang "β€”auth-type=web" nga kapilian gipiho, usa ka web interface nga giablihan sa browser ang gigamit sa pag-authenticate sa account. Ang mga parameter sa sesyon nahinumduman. Aron ma-establisar ang usa ka sesyon, kinahanglan nimo nga kumpirmahon ang imong email gamit ang usa ka higayon nga mga password (OTP), ug kung maghimo mga operasyon sa natukod na nga mga sesyon, kinahanglan nimo nga kumpirmahon ang ikaduhang yugto sa pag-authenticate sa duha ka hinungdan. Gihatag ang usa ka mode sa paghinumdom, nga nagtugot kanimo sa paghimo sa mga operasyon sa pagmantala sa sulod sa 5 minuto gikan sa parehas nga IP ug adunay parehas nga timaan nga wala’y dugang nga mga pag-aghat sa pag-authenticate sa duha ka hinungdan.
  • Gihatag ang abilidad sa pag-link sa GitHub ug Twitter nga mga account sa NPM, nga nagtugot kanimo sa pagkonektar sa NPM gamit ang imong GitHub ug Twitter account.

Ang dugang nga mga plano naghisgot sa paglakip sa mandatory two-factor authentication para sa mga account nga may kalabotan sa mga pakete nga adunay labaw sa 1 ka milyon nga mga pag-download kada semana o adunay labaw pa sa 500 ka nagsalig nga mga pakete. Sa pagkakaron, ang mandatory nga two-factor authentication kay gipadapat lang sa top 500 packages.

Source: opennet.ru

Idugang sa usa ka comment