GitHub har annonsert utgivelsen av NPM 8.15-pakkebehandleren, inkludert i Node.js og brukes til å distribuere JavaScript-moduler. Det bemerkes at mer enn 5 milliarder pakker lastes ned gjennom NPM hver dag.
Viktige endringer:
- En ny "revisjonssignaturer"-kommando er lagt til for å utføre en lokal revisjon av integriteten til installerte pakker, som ikke krever manipulasjoner med PGP-verktøy. Den nye verifiseringsmekanismen er basert på bruk av digitale signaturer basert på ECDSA-algoritmen og bruk av HSM (Hardware Security Module) for nøkkelhåndtering. Alle pakkene i NPM-depotet er allerede signert på nytt ved å bruke den nye ordningen.
- Forbedret tofaktorautentisering er erklært tilgjengelig for utbredt bruk. La til en forenklet påloggings- og publiseringsprosess til npm CLI, som kjører gjennom nettleseren. Når du spesifiserer «—auth-type=web»-alternativet, brukes et nettgrensesnitt som åpnes i en nettleser for å autentisere kontoen. Sesjonsparametere huskes. For å etablere en økt må du bekrefte e-posten din ved å bruke engangspassord (OTP), og når du utfører operasjoner i allerede etablerte økter, trenger du bare å bekrefte det andre trinnet av tofaktorautentisering. En huskemodus er tilgjengelig, slik at du kan utføre publiseringsoperasjoner innen 5 minutter fra samme IP og med samme token uten ytterligere tofaktorautentiseringsoppfordringer.
- Gir muligheten til å koble GitHub- og Twitter-kontoer til NPM, slik at du kan koble til NPM ved å bruke GitHub- og Twitter-kontoene dine.
Ytterligere planer nevner inkludering av obligatorisk tofaktorautentisering for kontoer knyttet til pakker som har mer enn 1 million nedlastinger per uke eller har mer enn 500 avhengige pakker. Foreløpig brukes obligatorisk tofaktorautentisering kun for de 500 beste pakkene.
Kilde: opennet.ru