GitHub は、Node.js に含まれ、JavaScript モジュールの配布に使用される NPM 8.15 パッケージ マネージャーのリリースを発表しました。 毎日 5 億を超えるパッケージが NPM を通じてダウンロードされていることが注目されます。
主な変更点:
- インストールされているパッケージの整合性のローカル監査を実行するための新しい「署名の監査」コマンドが追加されました。これには、PGP ユーティリティによる操作は必要ありません。 新しい検証メカニズムは、ECDSA アルゴリズムに基づくデジタル署名の使用と、キー管理のための HSM (ハードウェア セキュリティ モジュール) の使用に基づいています。 NPM リポジトリ内のすべてのパッケージは、新しいスキームを使用してすでに再署名されています。
- 強化された 5 要素認証は、広く使用できることが宣言されています。 ブラウザを通じて実行される、簡素化されたログインおよび公開プロセスが npm CLI に追加されました。 「—auth-type=web」オプションを指定すると、ブラウザで開く Web インターフェイスがアカウントの認証に使用されます。 セッションパラメータは記憶されます。 セッションを確立するには、ワンタイムパスワード(OTP)を使用してメールを確認する必要があり、すでに確立されたセッションで操作を実行する場合は、XNUMX要素認証の第XNUMX段階の確認のみが必要です。 記憶モードが提供されているため、追加の XNUMX 要素認証プロンプトを表示することなく、同じ IP から同じトークンを使用して XNUMX 分以内に公開操作を実行できます。
- GitHub および Twitter アカウントを NPM にリンクする機能が提供され、GitHub および Twitter アカウントを使用して NPM に接続できるようになりました。
今後の計画では、1 週間あたりのダウンロード数が 500 万を超えるパッケージ、または依存パッケージが 500 を超えるパッケージに関連付けられたアカウントに対して、必須の XNUMX 要素認証を含めることが言及されています。 現在、必須の XNUMX 要素認証は上位 XNUMX パッケージにのみ適用されます。
出所: オープンネット.ru