GitHub oznámil vydání správce balíčků NPM 8.15, který je součástí Node.js a slouží k distribuci modulů JavaScriptu. Je třeba poznamenat, že každý den je prostřednictvím NPM staženo více než 5 miliard balíčků.
Klíčové změny:
- Byl přidán nový příkaz „audit signatures“ pro provádění lokálního auditu integrity nainstalovaných balíčků, který nevyžaduje manipulaci s utilitami PGP. Nový ověřovací mechanismus je založen na použití digitálních podpisů založených na algoritmu ECDSA a použití HSM (Hardware Security Module) pro správu klíčů. Všechny balíčky v úložišti NPM již byly znovu podepsány pomocí nového schématu.
- Rozšířené dvoufaktorové ověřování bylo oznámeno jako široce dostupné. Do npm CLI byl přidán zjednodušený proces přihlašování a publikování, který běží přes prohlížeč. Pokud je zadána možnost „—auth-type=web“, k ověření účtu se použije webové rozhraní otevřené v prohlížeči. Parametry relace jsou zapamatovány. Pro navázání relace je potřeba potvrdit svůj e-mail pomocí jednorázových hesel (OTP) a při provádění operací v již vytvořených relacích stačí potvrdit druhý stupeň dvoufaktorové autentizace. K dispozici je režim zapamatování, který vám umožňuje provádět operace publikování do 5 minut ze stejné adresy IP a se stejným tokenem bez dalších výzev k dvoufaktorové autentizaci.
- Poskytuje možnost propojit účty GitHub a Twitter s NPM, což vám umožní připojit se k NPM pomocí vašich účtů GitHub a Twitter.
Další plány zmiňují zahrnutí povinné dvoufaktorové autentizace pro účty spojené s balíčky, které mají více než 1 milion stažení za týden nebo mají více než 500 závislých balíčků. V současné době je povinné dvoufaktorové ověřování aplikováno pouze na 500 nejlepších balíčků.
Zdroj: opennet.ru