GitHub parantos ngumumkeun sékrési manajer pakét NPM 8.15, kalebet Node.js sareng dianggo pikeun nyebarkeun modul JavaScript. Catet yén langkung ti 5 milyar bungkusan diunduh ngalangkungan NPM unggal dinten.
Parobahan konci:
- Paréntah "tandatangan audit" énggal parantos parantos diambah pikeun ngalaksanakeun pamariksaan lokal ngeunaan integritas bungkusan anu dipasang, anu henteu meryogikeun manipulasi sareng utilitas PGP. Mékanisme verifikasi anyar dumasar kana pamakéan tanda tangan digital dumasar kana algoritma ECDSA sarta pamakéan HSM (Hardware Security Module) pikeun manajemén konci. Sadaya pakét dina gudang NPM parantos ditandatanganan deui nganggo skéma énggal.
- Auténtikasi dua-faktor anu ditingkatkeun parantos dinyatakeun sayogi pikeun dianggo sacara umum. Nambahkeun prosés login sareng penerbitan anu saderhana ka npm CLI, ngalangkungan browser. Nalika anjeun netepkeun pilihan "—auth-type=web", antarbeungeut wéb anu muka dina browser dianggo pikeun nga-asténtikasi akun. Parameter sési émut. Pikeun nyieun sési, anjeun kedah ngonfirmasi email anjeun nganggo kecap akses sakali (OTP), sareng nalika ngalaksanakeun operasi dina sési anu tos aya, anjeun ngan ukur kedah mastikeun tahap kadua auténtikasi dua faktor. A mode apal disadiakeun, ngamungkinkeun Anjeun pikeun nedunan operasi nyebarkeun dina 5 menit ti IP sarua jeung token sarua tanpa tambahan dua-faktor auténtikasi prompts.
- Disayogikeun kamampuan pikeun ngaitkeun akun GitHub sareng Twitter ka NPM, ngamungkinkeun anjeun nyambung ka NPM nganggo akun GitHub sareng Twitter anjeun.
Rencana salajengna nyebatkeun ngalebetkeun auténtikasi dua faktor wajib pikeun akun anu aya hubunganana sareng pakét anu gaduh langkung ti 1 juta undeuran per minggu atanapi gaduh langkung ti 500 bungkusan gumantung. Ayeuna, auténtikasi dua-faktor wajib ngan ukur dilarapkeun ka 500 bungkusan anu paling luhur.
sumber: opennet.ru