Компанія GitHub представила випуск пакетного менеджера NPM 8.15, що входить у поставку Node.js та застосовується для поширення модулів на мові JavaScript. Зазначається, що щодня через NPM завантажується понад 5 мільярдів пакетів.
Ключові зміни:
- Додана нова команда «audit signatures» для проведення локального аудиту цілісності пакетів, що встановлюються, не потребує маніпуляцій з утилітами PGP. Новий механізм верифікації ґрунтується на застосуванні цифрових підписів на базі алгоритму ECDSA та використанні HSM (Hardware Security Module) для керування ключами. Усі пакети в репозиторії NPM вже перепідписано з використанням нової схеми.
- Оголошено доступною для повсюдного застосування розширена двофакторна автентифікація. Додано спрощений процес входу та публікації в npm CLI, що працює через браузер. При вказівці опції «auth-type=web» для аутентифікації облікового запису використовується web-інтерфейс, що відкривається в браузері. Параметри сеансу запам'ятовуються. Для встановлення сеансу потрібно підтвердити email за допомогою одноразових паролів (OTP), а при виконанні операцій у вже встановлених сеансах достатньо підтвердити другий етап двофакторної автентифікації. Надається режим запам'ятовування, що дозволяє протягом 5 хвилин виконувати операції публікації з тим самим IP і з тим самим токеном без додаткових запитів двофакторної аутентифікації.
- Надано можливість прив'язування облікових записів GitHub і Twitter до NPM, що дозволяє підключатися до NPM, використовуючи облікові записи GitHub і Twitter.
З подальших планів згадується включення обов'язкової двофакторної аутентифікації для облікових записів, пов'язаних з пакетами, що налічують понад 1 млн. завантажень на тиждень або мають понад 500 залежних пакетів. В даний час обов'язкова двофакторна автентифікація застосовується лише для 500 найпопулярніших пакетів.
Джерело: opennet.ru