GitHub je najavio izdanje upravitelja paketa NPM 8.15, uključenog u Node.js i koji se koristi za distribuciju JavaScript modula. Primijećeno je da se preko NPM-a svaki dan preuzme više od 5 milijardi paketa.
Ključne promjene:
- Dodana je nova naredba “audit signatures” za izvođenje lokalne revizije integriteta instaliranih paketa, koja ne zahtijeva manipulacije s PGP uslužnim programima. Novi mehanizam provjere temelji se na korištenju digitalnih potpisa temeljenih na ECDSA algoritmu i korištenju HSM-a (Hardware Security Module) za upravljanje ključevima. Svi paketi u NPM repozitoriju već su ponovno potpisani pomoću nove sheme.
- Poboljšana dvofaktorska provjera autentičnosti proglašena je dostupnom za široku upotrebu. Dodan je pojednostavljeni proces prijave i objavljivanja u npm CLI, koji se izvodi kroz preglednik. Kada navedete opciju “—auth-type=web”, za autentifikaciju računa koristi se web sučelje koje se otvara u pregledniku. Parametri sesije se pamte. Za uspostavu sesije potrebno je potvrditi svoju e-poštu pomoću jednokratnih lozinki (OTP), a kod izvođenja operacija u već uspostavljenim sesijama potrebno je samo potvrditi drugu fazu dvofaktorske autentifikacije. Omogućen je način pamćenja koji vam omogućuje izvođenje operacija objavljivanja unutar 5 minuta s iste IP adrese i s istim tokenom bez dodatnih upita za dvofaktorsku provjeru autentičnosti.
- Omogućena je mogućnost povezivanja GitHub i Twitter računa s NPM-om, što vam omogućuje povezivanje s NPM-om pomoću vaših GitHub i Twitter računa.
Daljnji planovi spominju uključivanje obavezne dvofaktorske autentifikacije za račune povezane s paketima koji imaju više od milijun preuzimanja tjedno ili imaju više od 1 zavisnih paketa. Trenutačno se obvezna dvofaktorska autentifikacija primjenjuje samo na 500 najboljih paketa.
Izvor: opennet.ru