GitHub oznámil vydanie správcu balíkov NPM 8.15, ktorý je súčasťou Node.js a používa sa na distribúciu modulov JavaScript. Je potrebné poznamenať, že každý deň sa cez NPM stiahne viac ako 5 miliárd balíkov.
Kľúčové zmeny:
- Bol pridaný nový príkaz „audit signatures“ na vykonanie lokálneho auditu integrity nainštalovaných balíkov, ktorý nevyžaduje manipuláciu s nástrojmi PGP. Nový overovací mechanizmus je založený na použití digitálnych podpisov založených na algoritme ECDSA a použití HSM (Hardware Security Module) na správu kľúčov. Všetky balíčky v úložisku NPM už boli opätovne podpísané pomocou novej schémy.
- Vylepšená dvojfaktorová autentifikácia bola oznámená ako široko dostupná. Pridaný zjednodušený proces prihlásenia a publikovania do npm CLI, ktorý beží cez prehliadač. Keď je zadaná možnosť „—auth-type=web“, na overenie účtu sa použije webové rozhranie otvorené v prehliadači. Parametre relácie sú zapamätané. Ak chcete vytvoriť reláciu, musíte potvrdiť svoj e-mail pomocou jednorazových hesiel (OTP) a pri vykonávaní operácií v už vytvorených reláciách stačí potvrdiť druhú fázu dvojfaktorovej autentifikácie. K dispozícii je režim zapamätania, ktorý vám umožňuje vykonávať operácie publikovania do 5 minút z rovnakej adresy IP a s rovnakým tokenom bez ďalších výziev na dvojfaktorovú autentifikáciu.
- Poskytuje možnosť prepojiť účty GitHub a Twitter s NPM, čo vám umožní pripojiť sa k NPM pomocou účtov GitHub a Twitter.
Ďalšie plány uvádzajú zahrnutie povinného dvojfaktorového overovania pre účty spojené s balíkmi, ktoré majú viac ako 1 milión stiahnutí za týždeň alebo majú viac ako 500 závislých balíkov. V súčasnosti sa povinná dvojfaktorová autentifikácia vzťahuje len na 500 najlepších balíkov.
Zdroj: opennet.ru