ProHoster > Blog > actualités internet > Le gestionnaire de packages NPM 8.15 est publié avec prise en charge de la vérification locale de l'intégrité des packages

Le gestionnaire de packages NPM 8.15 est publié avec prise en charge de la vérification locale de l'intégrité des packages

GitHub a annoncé la sortie du gestionnaire de packages NPM 8.15, inclus avec Node.js et utilisé pour distribuer les modules JavaScript. Il est à noter que plus de 5 milliards de packages sont téléchargés chaque jour via NPM.

Changements clés :

  • Une nouvelle commande « audit signatures » a été ajoutée pour effectuer un audit local de l'intégrité des packages installés, qui ne nécessite pas de manipulations avec les utilitaires PGP. Le nouveau mécanisme de vérification repose sur l'utilisation de signatures numériques basées sur l'algorithme ECDSA et l'utilisation de HSM (Hardware Security Module) pour la gestion des clés. Tous les packages du référentiel NPM ont déjà été re-signés à l'aide du nouveau schéma.
  • L’authentification améliorée à deux facteurs a été déclarée disponible pour une utilisation généralisée. Ajout d'un processus de connexion et de publication simplifié à la CLI npm, exécuté via le navigateur. Lorsque vous spécifiez l'option « -auth-type=web », une interface Web qui s'ouvre dans un navigateur est utilisée pour authentifier le compte. Les paramètres de session sont mémorisés. Pour établir une session, vous devez confirmer votre e-mail à l'aide de mots de passe à usage unique (OTP), et lorsque vous effectuez des opérations dans des sessions déjà établies, il vous suffit de confirmer la deuxième étape de l'authentification à deux facteurs. Un mode de mémorisation est fourni, vous permettant d'effectuer des opérations de publication dans les 5 minutes à partir de la même adresse IP et avec le même jeton sans invites d'authentification supplémentaires à deux facteurs.
  • Possibilité de lier les comptes GitHub et Twitter à NPM, vous permettant de vous connecter à NPM à l'aide de vos comptes GitHub et Twitter.

D'autres projets mentionnent l'inclusion d'une authentification obligatoire à deux facteurs pour les comptes associés à des packages comportant plus d'un million de téléchargements par semaine ou comportant plus de 1 packages dépendants. Actuellement, l’authentification obligatoire à deux facteurs n’est appliquée qu’aux 500 meilleurs packages.

Source: opennet.ru

Ajouter un commentaire