A GitHub bejelentette az NPM 8.15 csomagkezelő kiadását, amely a Node.js-hez tartozik, és a JavaScript-modulok terjesztésére szolgál. Megjegyzendő, hogy naponta több mint 5 milliárd csomagot töltenek le az NPM-en keresztül.
Főbb változások:
- Egy új „audit signatures” parancs került hozzáadásra a telepített csomagok integritásának helyi ellenőrzéséhez, amely nem igényel manipulációt a PGP segédprogramokkal. Az új ellenőrzési mechanizmus az ECDSA algoritmuson alapuló digitális aláírások használatán, valamint a HSM (Hardware Security Module) kulcskezelésen alapul. Az NPM-lerakatban lévő összes csomagot már újra aláírták az új sémával.
- A továbbfejlesztett kéttényezős hitelesítést széles körben elérhetővé nyilvánították. Egy egyszerűsített bejelentkezési és közzétételi folyamat hozzáadva az npm CLI-hez, amely a böngészőn keresztül fut. Ha megadja az „—auth-type=web” beállítást, a böngészőben megnyíló webes felületet használjuk a fiók hitelesítésére. A munkamenet paramétereit a rendszer megjegyzi. A munkamenet létrehozásához meg kell erősítenie e-mailjét egyszeri jelszavakkal (OTP), és a már létrehozott munkamenetekben végzett műveleteknél csak a kéttényezős hitelesítés második szakaszát kell megerősítenie. Emlékezési mód biztosított, amely lehetővé teszi, hogy 5 percen belül közzétételi műveleteket hajtson végre ugyanarról az IP-ről és ugyanazzal a tokennel, további kéttényezős hitelesítési felszólítások nélkül.
- Lehetővé teszi a GitHub- és Twitter-fiókok összekapcsolását az NPM-mel, lehetővé téve az NPM-hez való csatlakozást a GitHub- és Twitter-fiókjaival.
A további tervek megemlítik a kötelező kéttényezős hitelesítés bevezetését a heti 1 milliónál több letöltést vagy 500-nál több függő csomagot tartalmazó csomagokhoz kapcsolódó fiókokhoz. Jelenleg a kötelező kéttényezős hitelesítés csak a legjobb 500 csomagra vonatkozik.
Forrás: opennet.ru