GitHub anunciou o lanzamento do xestor de paquetes NPM 8.15, incluído con Node.js e usado para distribuír módulos JavaScript. Nótase que máis de 5 millóns de paquetes descárganse a través de NPM todos os días.
Cambios clave:
- Engadiuse un novo comando "auditar firmas" para realizar unha auditoría local da integridade dos paquetes instalados, que non require manipulacións coas utilidades PGP. O novo mecanismo de verificación baséase no uso de sinaturas dixitais baseadas no algoritmo ECDSA e no uso de HSM (Hardware Security Module) para a xestión de claves. Todos os paquetes do repositorio de NPM xa foron asinados de novo usando o novo esquema.
- A autenticación de dous factores mellorada declarouse dispoñible para un uso xeneralizado. Engadiuse un proceso simplificado de inicio de sesión e publicación á CLI de npm, que se executa a través do navegador. Cando especifica a opción "—auth-type=web", utilízase unha interface web que se abre nun navegador para autenticar a conta. Lémbranse os parámetros da sesión. Para establecer unha sesión, cómpre confirmar o seu correo electrónico mediante contrasinais únicos (OTP) e ao realizar operacións en sesións xa establecidas, só precisa confirmar a segunda etapa da autenticación de dous factores. Ofrécese un modo de lembranza, que lle permite realizar operacións de publicación en 5 minutos desde a mesma IP e co mesmo token sen solicitudes adicionais de autenticación de dous factores.
- Ofrece a posibilidade de vincular contas de GitHub e Twitter a NPM, o que lle permite conectarse a NPM mediante as súas contas de GitHub e Twitter.
Outros plans mencionan a inclusión da autenticación obrigatoria de dous factores para as contas asociadas a paquetes que teñan máis de 1 millón de descargas por semana ou que teñan máis de 500 paquetes dependentes. Actualmente, a autenticación obrigatoria de dous factores só se aplica aos 500 paquetes principais.
Fonte: opennet.ru