GitHub הכריזה על שחרורו של מנהל החבילות NPM 8.15, הכלול ב-Node.js ומשמש להפצת מודולי JavaScript. יצוין כי יותר מ-5 מיליארד חבילות מורדות דרך NPM מדי יום.
שינויים מרכזיים:
- נוספה פקודת "חתימות ביקורת" חדשה לביצוע ביקורת מקומית של תקינות החבילות המותקנות, שאינה דורשת מניפולציות עם כלי PGP. מנגנון האימות החדש מבוסס על שימוש בחתימות דיגיטליות המבוססות על אלגוריתם ECDSA ושימוש ב-HSM (Hardware Security Module) לניהול מפתחות. כל החבילות במאגר NPM כבר נחתמו מחדש באמצעות הסכימה החדשה.
- אימות דו-גורמי משופר הוכרז כזמין נרחב. נוסף תהליך התחברות ופרסום פשוטים ל-npm CLI, הפועל דרך הדפדפן. כאשר מצוינת האפשרות "—auth-type=web", ממשק אינטרנט שנפתח בדפדפן משמש לאימות החשבון. פרמטרי הפעלה נזכרים. כדי להקים הפעלה, עליך לאשר את הדוא"ל שלך באמצעות סיסמאות חד פעמיות (OTP), וכאשר מבצעים פעולות במפגשים שכבר הוקמה, עליך לאשר רק את השלב השני של אימות דו-גורמי. מסופק מצב זכור, המאפשר לך לבצע פעולות פרסום תוך 5 דקות מאותו IP ועם אותו אסימון ללא הנחיות נוספות לאימות דו-גורמי.
- סיפקה את היכולת לקשר חשבונות GitHub וטוויטר ל-NPM, מה שמאפשר לך להתחבר ל-NPM באמצעות חשבונות GitHub ו-Twitter שלך.
תוכניות נוספות מזכירות את הכללת אימות דו-גורמי חובה עבור חשבונות המשויכים לחבילות שיש להן יותר ממיליון הורדות בשבוע או שיש להן יותר מ-1 חבילות תלויות. נכון לעכשיו, אימות דו-גורמי חובה חל רק על 500 החבילות המובילות.
מקור: OpenNet.ru
