GitHub on ilmoittanut julkaisevansa NPM 8.15 -paketinhallinnan, joka sisältyy Node.js:ään ja jota käytetään JavaScript-moduulien jakeluun. On huomattava, että NPM:n kautta ladataan yli 5 miljardia pakettia päivittäin.
Tärkeimmät muutokset:
- Uusi "audit signatures" -komento on lisätty suorittamaan asennettujen pakettien eheyden paikallista tarkastusta, mikä ei vaadi manipulointia PGP-apuohjelmien kanssa. Uusi varmennusmekanismi perustuu ECDSA-algoritmiin perustuvien digitaalisten allekirjoitusten käyttöön ja HSM:n (Hardware Security Module) käyttöön avainten hallinnassa. Kaikki NPM-arkiston paketit on jo allekirjoitettu uudelleen uudella mallilla.
- Paranneltu kaksivaiheinen todennus on julistettu laajaan käyttöön. Lisätty yksinkertaistettu kirjautumis- ja julkaisuprosessi npm CLI:hen, joka toimii selaimen kautta. Kun määrität vaihtoehdon "—auth-type=web", tilin todentamiseen käytetään selaimeen avautuvaa verkkoliittymää. Istuntoparametrit muistetaan. Istunnon muodostamiseksi sinun on vahvistettava sähköpostisi kertakäyttöisillä salasanoilla (OTP), ja kun suoritat toimintoja jo muodostetuissa istunnoissa, sinun tarvitsee vain vahvistaa kaksivaiheisen todennuksen toinen vaihe. Muistitila on käytettävissä, jonka avulla voit suorittaa julkaisutoimintoja 5 minuutin sisällä samasta IP-osoitteesta ja samalla tunnuksella ilman ylimääräisiä kaksivaiheisia todennuskehotteita.
- Tarjoaa mahdollisuuden linkittää GitHub- ja Twitter-tilit NPM:ään, jolloin voit muodostaa yhteyden NPM:ään käyttämällä GitHub- ja Twitter-tilejäsi.
Lisäsuunnitelmissa mainitaan pakollisen kaksivaiheisen todennuksen sisällyttäminen tileihin, jotka liittyvät paketteihin, joissa on yli miljoona latausta viikossa tai joissa on yli 1 riippuvaista pakettia. Tällä hetkellä pakollista kaksivaiheista todennusta sovelletaan vain 500 parhaimpaan pakettiin.
Lähde: opennet.ru