ProHoster > Blog > balita sa internet > Ang paglabas ng manager ng package ng NPM 8.15 na may suporta para sa pagsusuri sa integridad ng lokal na pakete

Ang paglabas ng manager ng package ng NPM 8.15 na may suporta para sa pagsusuri sa integridad ng lokal na pakete

Inihayag ng GitHub ang paglabas ng manager ng package ng NPM 8.15, kasama sa Node.js at ginamit upang ipamahagi ang mga module ng JavaScript. Napansin na higit sa 5 bilyong pakete ang dina-download sa pamamagitan ng NPM araw-araw.

Mga pangunahing pagbabago:

  • Ang isang bagong command na "mga lagda sa pag-audit" ay idinagdag upang magsagawa ng lokal na pag-audit ng integridad ng mga naka-install na pakete, na hindi nangangailangan ng mga manipulasyon sa mga utility ng PGP. Ang bagong mekanismo ng pag-verify ay batay sa paggamit ng mga digital na lagda batay sa ECDSA algorithm at ang paggamit ng HSM (Hardware Security Module) para sa pangunahing pamamahala. Ang lahat ng mga pakete sa repositoryo ng NPM ay muling nilagdaan gamit ang bagong scheme.
  • Ang pinahusay na two-factor authentication ay idineklara na magagamit para sa malawakang paggamit. Nagdagdag ng pinasimpleng proseso ng pag-log in at pag-publish sa npm CLI, na tumatakbo sa browser. Kapag tinukoy mo ang opsyong "β€”auth-type=web", ang isang web interface na bubukas sa isang browser ay ginagamit upang patotohanan ang account. Naaalala ang mga parameter ng session. Upang magtatag ng session, kailangan mong kumpirmahin ang iyong email gamit ang isang beses na password (OTP), at kapag nagsasagawa ng mga operasyon sa mga naitatag nang session, kailangan mo lamang kumpirmahin ang pangalawang yugto ng two-factor authentication. Isang remember mode ang ibinigay, na nagbibigay-daan sa iyong magsagawa ng mga operasyon sa pag-publish sa loob ng 5 minuto mula sa parehong IP at may parehong token nang walang karagdagang two-factor authentication prompt.
  • Ibinigay ang kakayahang i-link ang GitHub at Twitter account sa NPM, na nagbibigay-daan sa iyong kumonekta sa NPM gamit ang iyong GitHub at Twitter account.

Binabanggit ng mga karagdagang plano ang pagsasama ng mandatoryong two-factor authentication para sa mga account na nauugnay sa mga package na may higit sa 1 milyong pag-download bawat linggo o may higit sa 500 na nakadependeng pakete. Sa kasalukuyan, ang mandatoryong two-factor authentication ay inilalapat lamang sa nangungunang 500 na pakete.

Pinagmulan: opennet.ru

Magdagdag ng komento