GitHub, Node.js'ye dahil olan ve JavaScript modüllerini dağıtmak için kullanılan NPM 8.15 paket yöneticisinin yayınlandığını duyurdu. NPM üzerinden her gün 5 milyardan fazla paketin indirildiği belirtiliyor.
Anahtar değişiklikler:
- PGP yardımcı programları ile manipülasyon gerektirmeyen, kurulu paketlerin bütünlüğünün yerel denetimini gerçekleştirmek için yeni bir "imzaları denetle" komutu eklendi. Yeni doğrulama mekanizması, ECDSA algoritmasını temel alan dijital imzaların kullanımına ve anahtar yönetimi için HSM'nin (Donanım Güvenliği Modülü) kullanımına dayanmaktadır. NPM deposundaki tüm paketler yeni şema kullanılarak zaten yeniden imzalanmıştır.
- Gelişmiş iki faktörlü kimlik doğrulamanın yaygın kullanıma açık olduğu açıklandı. Npm CLI'ye tarayıcı üzerinden çalışan basitleştirilmiş bir oturum açma ve yayınlama işlemi eklendi. “—auth-type=web” seçeneğini belirttiğinizde hesabın kimliğini doğrulamak için tarayıcıda açılan bir web arayüzü kullanılır. Oturum parametreleri hatırlanır. Oturum oluşturmak için e-postanızı tek kullanımlık şifreler (OTP) kullanarak onaylamanız gerekir ve önceden kurulmuş oturumlarda işlem yaparken yalnızca iki faktörlü kimlik doğrulamanın ikinci aşamasını onaylamanız gerekir. Ek iki faktörlü kimlik doğrulama istemleri olmadan aynı IP'den ve aynı belirteçle 5 dakika içinde yayınlama işlemlerini gerçekleştirmenize olanak tanıyan bir hatırlama modu sağlanır.
- GitHub ve Twitter hesaplarını NPM'ye bağlama yeteneği sağlandı, böylece GitHub ve Twitter hesaplarınızı kullanarak NPM'ye bağlanmanıza olanak tanındı.
Diğer planlarda, haftada 1 milyondan fazla indirilen veya 500'den fazla bağımlı pakete sahip paketlerle ilişkili hesaplar için zorunlu iki faktörlü kimlik doğrulamanın dahil edilmesinden bahsediliyor. Şu anda zorunlu iki faktörlü kimlik doğrulama yalnızca ilk 500 pakete uygulanıyor.
Kaynak: opennet.ru