GitHub ได้ประกาศเปิดตัวตัวจัดการแพ็คเกจ NPM 8.15 ที่มาพร้อมกับ Node.js และใช้ในการแจกจ่ายโมดูล JavaScript มีข้อสังเกตว่ามีการดาวน์โหลดแพ็คเกจมากกว่า 5 พันล้านแพ็คเกจผ่าน NPM ทุกวัน
การเปลี่ยนแปลงที่สำคัญ:
- มีการเพิ่มคำสั่ง “ลายเซ็นการตรวจสอบ” ใหม่เพื่อดำเนินการตรวจสอบความสมบูรณ์ของแพ็คเกจที่ติดตั้งในเครื่อง ซึ่งไม่จำเป็นต้องมีการดัดแปลงกับยูทิลิตี้ PGP กลไกการตรวจสอบใหม่จะขึ้นอยู่กับการใช้ลายเซ็นดิจิทัลตามอัลกอริทึม ECDSA และการใช้ HSM (Hardware Security Module) สำหรับการจัดการคีย์ แพ็คเกจทั้งหมดในที่เก็บ NPM ได้รับการลงนามอีกครั้งโดยใช้รูปแบบใหม่แล้ว
- การรับรองความถูกต้องด้วยสองปัจจัยที่ได้รับการปรับปรุงได้รับการประกาศให้ใช้งานได้อย่างแพร่หลาย เพิ่มกระบวนการเข้าสู่ระบบและเผยแพร่ที่ง่ายขึ้นให้กับ npm CLI ซึ่งทำงานผ่านเบราว์เซอร์ เมื่อคุณระบุตัวเลือก “—auth-type=web” เว็บอินเทอร์เฟซที่เปิดในเบราว์เซอร์จะใช้เพื่อตรวจสอบสิทธิ์บัญชี พารามิเตอร์เซสชันจะถูกจดจำ ในการสร้างเซสชั่น คุณต้องยืนยันอีเมลของคุณโดยใช้รหัสผ่านแบบครั้งเดียว (OTP) และเมื่อดำเนินการในเซสชั่นที่สร้างไว้แล้ว คุณเพียงแค่ยืนยันขั้นตอนที่สองของการรับรองความถูกต้องด้วยสองปัจจัยเท่านั้น มีโหมดการจำไว้ ซึ่งช่วยให้คุณดำเนินการเผยแพร่ได้ภายใน 5 นาทีจาก IP เดียวกัน และใช้โทเค็นเดียวกันโดยไม่ต้องแจ้งเตือนการตรวจสอบสิทธิ์แบบสองปัจจัยเพิ่มเติม
- ให้ความสามารถในการเชื่อมโยงบัญชี GitHub และ Twitter กับ NPM ทำให้คุณสามารถเชื่อมต่อกับ NPM โดยใช้บัญชี GitHub และ Twitter ของคุณ
แผนเพิ่มเติมกล่าวถึงการรวมการตรวจสอบสิทธิ์แบบสองปัจจัยที่จำเป็นสำหรับบัญชีที่เกี่ยวข้องกับแพ็คเกจที่มีการดาวน์โหลดมากกว่า 1 ล้านครั้งต่อสัปดาห์หรือมีแพ็คเกจที่ต้องพึ่งพามากกว่า 500 รายการ ปัจจุบัน การรับรองความถูกต้องด้วยสองปัจจัยแบบบังคับจะมีผลกับแพ็คเกจ 500 อันดับแรกเท่านั้น
ที่มา: opennet.ru