GitHub har meddelat lanseringen av NPM 8.15-pakethanteraren, som ingår i Node.js och används för att distribuera JavaScript-moduler. Det noteras att mer än 5 miljarder paket laddas ner via NPM varje dag.
Viktiga ändringar:
- Ett nytt kommando för "revisionssignaturer" har lagts till för att utföra en lokal granskning av integriteten hos installerade paket, vilket inte kräver manipulationer med PGP-verktyg. Den nya verifieringsmekanismen är baserad på användningen av digitala signaturer baserade på ECDSA-algoritmen och användningen av HSM (Hardware Security Module) för nyckelhantering. Alla paket i NPM-förvaret har redan signerats om med det nya schemat.
- Förbättrad tvåfaktorsautentisering har förklarats tillgänglig för utbredd användning. Lade till en förenklad inloggnings- och publiceringsprocess till npm CLI, som körs genom webbläsaren. När du anger alternativet "—auth-type=web" används ett webbgränssnitt som öppnas i en webbläsare för att autentisera kontot. Sessionsparametrar kommer ihåg. För att upprätta en session behöver du bekräfta din e-post med engångslösenord (OTP), och när du utför operationer i redan etablerade sessioner behöver du bara bekräfta det andra steget av tvåfaktorsautentisering. Ett minnesläge tillhandahålls, vilket gör att du kan utföra publiceringsåtgärder inom 5 minuter från samma IP och med samma token utan ytterligare tvåfaktorsautentiseringsuppmaningar.
- Förutsatt möjligheten att länka GitHub- och Twitter-konton till NPM, så att du kan ansluta till NPM med dina GitHub- och Twitter-konton.
Ytterligare planer nämner införandet av obligatorisk tvåfaktorsautentisering för konton associerade med paket som har mer än 1 miljon nedladdningar per vecka eller har mer än 500 beroende paket. För närvarande tillämpas obligatorisk tvåfaktorsautentisering endast på de 500 bästa paketen.
Källa: opennet.ru