GitHub ha annunciato il rilascio del gestore pacchetti NPM 8.15, incluso con Node.js e utilizzato per distribuire i moduli JavaScript. Si noti che ogni giorno vengono scaricati più di 5 miliardi di pacchetti tramite NPM.
Modifiche principali:
- È stato aggiunto un nuovo comando "audit firme" per eseguire un controllo locale dell'integrità dei pacchetti installati, che non richiede manipolazioni con le utilità PGP. Il nuovo meccanismo di verifica si basa sull'utilizzo di firme digitali basate sull'algoritmo ECDSA e sull'utilizzo di HSM (Hardware Security Module) per la gestione delle chiavi. Tutti i pacchetti nel repository NPM sono già stati firmati nuovamente utilizzando il nuovo schema.
- L'autenticazione avanzata a due fattori è stata dichiarata disponibile per un uso diffuso. Aggiunto un processo di accesso e pubblicazione semplificato alla CLI npm, eseguito tramite il browser. Quando viene specificata l'opzione "—auth-type=web", per autenticare l'account viene utilizzata un'interfaccia Web aperta nel browser. I parametri della sessione vengono ricordati. Per stabilire una sessione, è necessario confermare la propria e-mail utilizzando password monouso (OTP) e quando si eseguono operazioni in sessioni già stabilite, è sufficiente confermare solo la seconda fase dell'autenticazione a due fattori. Viene fornita una modalità di memorizzazione, che consente di eseguire operazioni di pubblicazione entro 5 minuti dallo stesso IP e con lo stesso token senza ulteriori richieste di autenticazione a due fattori.
- Fornita la possibilità di collegare gli account GitHub e Twitter a NPM, consentendoti di connetterti a NPM utilizzando i tuoi account GitHub e Twitter.
Ulteriori piani menzionano l'inclusione dell'autenticazione a due fattori obbligatoria per gli account associati a pacchetti che hanno più di 1 milione di download a settimana o hanno più di 500 pacchetti dipendenti. Attualmente, l'autenticazione obbligatoria a due fattori viene applicata solo ai primi 500 pacchetti.
Fonte: opennet.ru