GitHub heeft de release aangekondigd van de NPM 8.15-pakketbeheerder, meegeleverd met Node.js en gebruikt om JavaScript-modules te distribueren. Opgemerkt wordt dat er dagelijks meer dan 5 miljard pakketten via NPM worden gedownload.
Belangrijkste wijzigingen:
- Er is een nieuwe opdracht “audit signatures” toegevoegd om een lokale audit van de integriteit van geïnstalleerde pakketten uit te voeren, waarvoor geen manipulaties met PGP-hulpprogramma’s nodig zijn. Het nieuwe verificatiemechanisme is gebaseerd op het gebruik van digitale handtekeningen op basis van het ECDSA-algoritme en het gebruik van HSM (Hardware Security Module) voor sleutelbeheer. Alle pakketten in de NPM-repository zijn al opnieuw ondertekend volgens het nieuwe schema.
- Verbeterde tweefactorauthenticatie is beschikbaar verklaard voor wijdverbreid gebruik. Een vereenvoudigd inlog- en publicatieproces toegevoegd aan de npm CLI, dat via de browser loopt. Wanneer u de optie “—auth-type=web” opgeeft, wordt een webinterface die in een browser wordt geopend, gebruikt om het account te verifiëren. Sessieparameters worden onthouden. Om een sessie tot stand te brengen, moet u uw e-mailadres bevestigen met eenmalige wachtwoorden (OTP), en wanneer u bewerkingen uitvoert in reeds bestaande sessies, hoeft u alleen de tweede fase van tweefactorauthenticatie te bevestigen. Er is een onthoudmodus beschikbaar, waarmee u publicatiebewerkingen binnen 5 minuten vanaf hetzelfde IP-adres en met hetzelfde token kunt uitvoeren zonder extra tweefactorauthenticatieprompts.
- Biedt de mogelijkheid om GitHub- en Twitter-accounts aan NPM te koppelen, zodat u verbinding kunt maken met NPM via uw GitHub- en Twitter-accounts.
Verdere plannen vermelden de opname van verplichte tweefactorauthenticatie voor accounts die zijn gekoppeld aan pakketten die meer dan 1 miljoen downloads per week hebben of meer dan 500 afhankelijke pakketten hebben. Momenteel wordt verplichte tweefactorauthenticatie alleen toegepast op de top 500 pakketten.
Bron: opennet.ru