GitHub ha anunciado el lanzamiento del administrador de paquetes NPM 8.15, incluido con Node.js y utilizado para distribuir módulos JavaScript. Cabe señalar que cada día se descargan más de 5 mil millones de paquetes a través de NPM.
Cambios clave:
- Se agregó un nuevo comando de "auditar firmas" para realizar una auditoría local de la integridad de los paquetes instalados, que no requiere manipulaciones con las utilidades PGP. El nuevo mecanismo de verificación se basa en el uso de firmas digitales basadas en el algoritmo ECDSA y el uso de HSM (Hardware Security Module) para la gestión de claves. Todos los paquetes en el repositorio de NPM ya se han vuelto a firmar utilizando el nuevo esquema.
- Se ha anunciado que la autenticación de dos factores mejorada está ampliamente disponible. Se agregó un proceso simplificado de inicio de sesión y publicación a la CLI de npm, que se ejecuta a través del navegador. Cuando se especifica la opción “—auth-type=web”, se utiliza una interfaz web abierta en el navegador para autenticar la cuenta. Se recuerdan los parámetros de la sesión. Para establecer una sesión, debe confirmar su correo electrónico mediante contraseñas de un solo uso (OTP), y al realizar operaciones en sesiones ya establecidas, solo necesita confirmar la segunda etapa de autenticación de dos factores. Se proporciona un modo de recuerdo, que le permite realizar operaciones de publicación en 5 minutos desde la misma IP y con el mismo token sin solicitudes adicionales de autenticación de dos factores.
- Se brindó la capacidad de vincular cuentas de GitHub y Twitter a NPM, lo que le permite conectarse a NPM utilizando sus cuentas de GitHub y Twitter.
Otros planes mencionan la inclusión de autenticación obligatoria de dos factores para cuentas asociadas con paquetes que tengan más de 1 millón de descargas por semana o tengan más de 500 paquetes dependientes. Actualmente, la autenticación obligatoria de dos factores sólo se aplica a los 500 paquetes principales.
Fuente: opennet.ru