GitHub teatas NPM 8.15 paketihalduri väljalaskmisest, mis sisaldub Node.js-is ja mida kasutatakse JavaScripti moodulite levitamiseks. Märgitakse, et iga päev laaditakse NPM-i kaudu alla rohkem kui 5 miljardit paketti.
Peamised muudatused:
- Paigaldatud pakettide terviklikkuse kohaliku auditi läbiviimiseks on lisatud uus käsk “audit signatures”, mis ei nõua PGP utiliitidega manipuleerimist. Uus kontrollimehhanism põhineb ECDSA algoritmil põhinevate digitaalallkirjade kasutamisel ja HSM-i (Hardware Security Module) kasutamisel võtmehalduseks. Kõik NPM-i hoidlas olevad paketid on uue skeemi abil juba uuesti allkirjastatud.
- Täiustatud kahefaktoriline autentimine on kuulutatud laialdaseks kasutamiseks kättesaadavaks. Npm CLI-le on lisatud lihtsustatud sisselogimis- ja avaldamisprotsess, mis töötab läbi brauseri. Kui määrate suvandi „—auth-type=web”, kasutatakse konto autentimiseks brauseris avanevat veebiliidest. Seansi parameetrid jäetakse meelde. Seansi loomiseks peate kinnitama oma e-posti ühekordsete paroolide (OTP) abil ja juba loodud seanssides toimingute tegemisel peate kinnitama ainult kahefaktorilise autentimise teise etapi. Pakutakse meeldejätmise režiimi, mis võimaldab teil teha avaldamistoiminguid 5 minuti jooksul samast IP-st ja sama loaga ilma täiendavate kahefaktorilise autentimise viipadeta.
- Võimalus siduda GitHubi ja Twitteri kontod NPM-iga, mis võimaldab teil NPM-iga ühenduse luua, kasutades oma GitHubi ja Twitteri kontosid.
Edasistes plaanides mainitakse kohustusliku kahefaktorilise autentimise kaasamist kontodele, mis on seotud pakettidega, millel on nädalas üle 1 miljoni allalaadimise või millel on üle 500 sõltuva paketi. Praegu rakendatakse kohustuslikku kahefaktorilist autentimist vaid 500 parimale paketile.
Allikas: opennet.ru