GitHub anunciou o lançamento do gerenciador de pacotes NPM 8.15, incluído no Node.js e usado para distribuir módulos JavaScript. Observa-se que mais de 5 bilhões de pacotes são baixados através do NPM todos os dias.
Principais mudanças:
- Um novo comando de “assinaturas de auditoria” foi adicionado para realizar uma auditoria local da integridade dos pacotes instalados, o que não requer manipulações com utilitários PGP. O novo mecanismo de verificação baseia-se na utilização de assinaturas digitais baseadas no algoritmo ECDSA e na utilização de HSM (Hardware Security Module) para gestão de chaves. Todos os pacotes no repositório NPM já foram assinados novamente usando o novo esquema.
- A autenticação aprimorada de dois fatores foi declarada disponível para uso generalizado. Adicionado um processo simplificado de login e publicação à CLI do npm, executado por meio do navegador. Quando você especifica a opção “—auth-type=web”, uma interface web que abre em um navegador é usada para autenticar a conta. Os parâmetros da sessão são lembrados. Para estabelecer uma sessão, é necessário confirmar seu e-mail utilizando senhas de uso único (OTP), e ao realizar operações em sessões já estabelecidas, basta confirmar a segunda etapa da autenticação de dois fatores. É fornecido um modo de lembrança, permitindo que você execute operações de publicação em até 5 minutos a partir do mesmo IP e com o mesmo token, sem solicitações adicionais de autenticação de dois fatores.
- Forneceu a capacidade de vincular contas do GitHub e do Twitter ao NPM, permitindo que você se conecte ao NPM usando suas contas do GitHub e do Twitter.
Outros planos mencionam a inclusão de autenticação obrigatória de dois fatores para contas associadas a pacotes que tenham mais de 1 milhão de downloads por semana ou que tenham mais de 500 pacotes dependentes. Atualmente, a autenticação obrigatória de dois fatores é aplicada apenas aos 500 principais pacotes.
Fonte: opennet.ru