GitHub ogłosił wydanie menedżera pakietów NPM 8.15, dołączonego do Node.js i używanego do dystrybucji modułów JavaScript. Należy zauważyć, że każdego dnia za pośrednictwem NPM pobieranych jest ponad 5 miliardów pakietów.
Kluczowe zmiany:
- Dodano nowe polecenie „audyt podpisów”, umożliwiające wykonanie lokalnego audytu integralności zainstalowanych pakietów, który nie wymaga manipulacji narzędziami PGP. Nowy mechanizm weryfikacji opiera się na wykorzystaniu podpisów cyfrowych opartych na algorytmie ECDSA oraz wykorzystaniu HSM (Hardware Security Module) do zarządzania kluczami. Wszystkie pakiety w repozytorium NPM zostały już ponownie podpisane przy użyciu nowego schematu.
- Ulepszone uwierzytelnianie dwuskładnikowe zostało uznane za dostępne do powszechnego użytku. Dodano uproszczony proces logowania i publikowania do interfejsu CLI npm, uruchamianego za pośrednictwem przeglądarki. Jeśli określisz opcję „—auth-type=web”, do uwierzytelnienia konta używany będzie interfejs sieciowy otwierany w przeglądarce. Parametry sesji są zapamiętywane. Aby nawiązać sesję, należy potwierdzić swój adres e-mail za pomocą haseł jednorazowych (OTP), a wykonując operacje w już nawiązanych sesjach, wystarczy potwierdzić jedynie drugi etap uwierzytelniania dwuskładnikowego. Dostępny jest tryb zapamiętywania, umożliwiający wykonanie operacji publikowania w ciągu 5 minut z tego samego adresu IP i tego samego tokena bez dodatkowych monitów o uwierzytelnienie dwuskładnikowe.
- Zapewniono możliwość łączenia kont GitHub i Twitter z NPM, umożliwiając łączenie się z NPM przy użyciu kont GitHub i Twitter.
Dalsze plany przewidują włączenie obowiązkowego uwierzytelniania dwuskładnikowego dla kont powiązanych z pakietami, które mają ponad 1 milion pobrań tygodniowo lub mają ponad 500 zależnych pakietów. Obecnie obowiązkowe uwierzytelnianie dwuskładnikowe jest stosowane tylko w przypadku 500 najlepszych pakietów.
Źródło: opennet.ru