ProHoster > Blog > Internetnachrichten > Version des NPM 8.15-Paketmanagers mit Unterstützung für die Überprüfung der lokalen Paketintegrität

Version des NPM 8.15-Paketmanagers mit Unterstützung für die Überprüfung der lokalen Paketintegrität

GitHub hat die Veröffentlichung des Paketmanagers NPM 8.15 angekündigt, der in Node.js enthalten ist und zur Verteilung von JavaScript-Modulen verwendet wird. Es wird darauf hingewiesen, dass täglich mehr als 5 Milliarden Pakete über NPM heruntergeladen werden.

Wichtige Änderungen:

  • Ein neuer Befehl „Signaturen prüfen“ wurde hinzugefügt, um eine lokale Prüfung der Integrität installierter Pakete durchzuführen, die keine Manipulationen mit PGP-Dienstprogrammen erfordert. Der neue Verifizierungsmechanismus basiert auf der Verwendung digitaler Signaturen auf Basis des ECDSA-Algorithmus und der Verwendung von HSM (Hardware Security Module) für die Schlüsselverwaltung. Alle Pakete im NPM-Repository wurden bereits mit dem neuen Schema neu signiert.
  • Die erweiterte Zwei-Faktor-Authentifizierung wurde für den breiten Einsatz freigegeben. Der npm-CLI wurde ein vereinfachter Anmelde- und Veröffentlichungsprozess hinzugefügt, der über den Browser ausgeführt wird. Wenn Sie die Option „—auth-type=web“ angeben, wird eine Webschnittstelle, die in einem Browser geöffnet wird, zur Authentifizierung des Kontos verwendet. Sitzungsparameter werden gespeichert. Um eine Sitzung einzurichten, müssen Sie Ihre E-Mail-Adresse mit Einmalkennwörtern (OTP) bestätigen. Wenn Sie Vorgänge in bereits eingerichteten Sitzungen ausführen, müssen Sie nur die zweite Stufe der Zwei-Faktor-Authentifizierung bestätigen. Es steht ein Erinnerungsmodus zur Verfügung, der es Ihnen ermöglicht, Veröffentlichungsvorgänge innerhalb von 5 Minuten von derselben IP und mit demselben Token ohne zusätzliche Zwei-Faktor-Authentifizierungsaufforderungen durchzuführen.
  • Bietet die Möglichkeit, GitHub- und Twitter-Konten mit NPM zu verknüpfen, sodass Sie über Ihre GitHub- und Twitter-Konten eine Verbindung zu NPM herstellen können.

Weitere Pläne sehen die Aufnahme einer obligatorischen Zwei-Faktor-Authentifizierung für Konten vor, die mit Paketen verknüpft sind, die mehr als 1 Million Downloads pro Woche haben oder über mehr als 500 abhängige Pakete verfügen. Derzeit wird die obligatorische Zwei-Faktor-Authentifizierung nur für die Top-500-Pakete angewendet.

Source: opennet.ru

Kommentar hinzufügen