GitHub je napovedal izdajo upravitelja paketov NPM 8.15, ki je vključen v Node.js in se uporablja za distribucijo modulov JavaScript. Opaženo je, da se prek NPM vsak dan prenese več kot 5 milijard paketov.
Ključne spremembe:
- Dodan je bil nov ukaz »revizijski podpisi« za izvajanje lokalne revizije celovitosti nameščenih paketov, ki ne zahteva manipulacije s pripomočki PGP. Nov mehanizem preverjanja temelji na uporabi digitalnih podpisov, ki temeljijo na algoritmu ECDSA in uporabi HSM (Hardware Security Module) za upravljanje ključev. Vsi paketi v repozitoriju NPM so že bili ponovno podpisani z uporabo nove sheme.
- Izboljšana dvostopenjska avtentikacija je bila razglašena za široko uporabo. Dodan poenostavljen postopek prijave in objavljanja v npm CLI, ki teče prek brskalnika. Ko podate možnost »—auth-type=web«, se za preverjanje pristnosti računa uporabi spletni vmesnik, ki se odpre v brskalniku. Parametri seje so zapomniti. Za vzpostavitev seje morate svojo e-pošto potrditi z enkratnimi gesli (OTP), pri izvajanju operacij v že vzpostavljenih sejah pa morate potrditi le drugo stopnjo dvofaktorske avtentikacije. Zagotovljen je način zapomnitve, ki vam omogoča izvajanje operacij objave v 5 minutah z istega IP-ja in z istim žetonom brez dodatnih dvofaktorskih pozivov za preverjanje pristnosti.
- Zagotovljena možnost povezovanja računov GitHub in Twitter z NPM, kar vam omogoča povezavo z NPM z uporabo vaših računov GitHub in Twitter.
Nadaljnji načrti omenjajo vključitev obvezne dvofaktorske avtentikacije za račune, povezane s paketi, ki imajo več kot 1 milijon prenosov na teden ali imajo več kot 500 odvisnih paketov. Trenutno se obvezna dvofaktorska avtentikacija uporablja samo za 500 najboljših paketov.
Vir: opennet.ru