GitHub telah mengumumkan peluncuran manajer paket NPM 8.15, yang disertakan dengan Node.js dan digunakan untuk mendistribusikan modul JavaScript. Tercatat lebih dari 5 miliar paket diunduh melalui NPM setiap harinya.
Perubahan utama:
- Perintah βaudit tanda tanganβ baru telah ditambahkan untuk melakukan audit lokal terhadap integritas paket yang diinstal, yang tidak memerlukan manipulasi dengan utilitas PGP. Mekanisme verifikasi baru didasarkan pada penggunaan tanda tangan digital berdasarkan algoritma ECDSA dan penggunaan HSM (Hardware Security Module) untuk manajemen kunci. Semua paket di repositori NPM telah ditandatangani ulang menggunakan skema baru.
- Otentikasi dua faktor yang ditingkatkan telah dinyatakan tersedia untuk digunakan secara luas. Menambahkan proses login dan penerbitan yang disederhanakan ke npm CLI, yang dijalankan melalui browser. Saat Anda menentukan opsi ββauth-type=webβ, antarmuka web yang terbuka di browser digunakan untuk mengautentikasi akun. Parameter sesi diingat. Untuk membuat sesi, Anda perlu mengonfirmasi email Anda menggunakan kata sandi satu kali (OTP), dan saat melakukan operasi di sesi yang sudah ada, Anda hanya perlu mengonfirmasi otentikasi dua faktor tahap kedua. Mode ingat disediakan, memungkinkan Anda melakukan operasi publikasi dalam waktu 5 menit dari IP yang sama dan dengan token yang sama tanpa permintaan autentikasi dua faktor tambahan.
- Memberikan kemampuan untuk menautkan akun GitHub dan Twitter ke NPM, memungkinkan Anda terhubung ke NPM menggunakan akun GitHub dan Twitter Anda.
Rencana lebih lanjut menyebutkan penyertaan autentikasi dua faktor wajib untuk akun yang terkait dengan paket yang memiliki lebih dari 1 juta unduhan per minggu atau memiliki lebih dari 500 paket dependen. Saat ini, autentikasi dua faktor wajib hanya diterapkan pada 500 paket teratas.
Sumber: opennet.ru