Das Unternehmen GitHub hat die Version 8.15 des Paketmanagers NPM vorgestellt, der in die Node.js-Distribution integriert ist und zur Verteilung von Modulen in JavaScript verwendet wird. Es wird berichtet, dass täglich über 5 Milliarden Pakete über NPM heruntergeladen werden.
Wichtige Änderungen:
- Ein neuer Befehl „audit signatures“ wurde hinzugefügt, um eine lokale Integritätsprüfung der installierten Pakete durchzuführen, die keine Manipulationen mit PGP-Tools erfordert. Der neue Verifizierungsmechanismus basiert auf digitalen Signaturen, die auf dem ECDSA-Algorithmus basieren, und auf der Verwendung eines HSM (Hardware Security Module) zur Verwaltung der Schlüssel. Alle Pakete im NPM-Repository wurden bereits mit dem neuen Verfahren neu signiert.
- Die erweiterte Zwei-Faktor-Authentifizierung ist nun für den allgemeinen Gebrauch verfügbar. Ein vereinfachter Anmelde- und Veröffentlichungsprozess für das npm CLI über den Browser wurde hinzugefügt. Wenn die Option „—auth-type=web“ angegeben wird, wird die Authentifizierung des Kontos über eine im Browser geöffnete Weboberfläche durchgeführt. Die Sitzungseinstellungen werden gespeichert. Um eine Sitzung zu starten, muss der E-Mail-Bestätigungsprozess mithilfe von Einmalpasswörtern (OTP) abgeschlossen werden. Für Operationen in bereits eingerichteten Sitzungen reicht es aus, die zweite Stufe der Zwei-Faktor-Authentifizierung zu bestätigen. Der Erinnerungsmodus ermöglicht es, innerhalb von 5 Minuten Veröffentlichungen vom selben IP und mit demselben Token ohne zusätzliche Anforderungen an die Zwei-Faktor-Authentifizierung durchzuführen.
- Es besteht nun die Möglichkeit, GitHub- und Twitter-Konten mit NPM zu verknüpfen, sodass Sie sich bei NPM mit Ihren Konten bei GitHub und Twitter anmelden können.
In den zukünftigen Plänen wird die Einführung einer verpflichtenden Zwei-Faktor-Authentifizierung für Konten erwähnt, die mit Paketen verbunden sind, die mehr als 1 Million Downloads pro Woche erhalten oder mehr als 500 abhängige Pakete haben. Derzeit wird die verpflichtende Zwei-Faktor-Authentifizierung nur für die 500 beliebtesten Pakete angewendet.
Quelle: opennet.ru
