GitHub 宣布发布 NPM 8.15 包管理器,包含在 Node.js 中并用于分发 JavaScript 模块。 值得注意的是,每天有超过 5 亿个包通过 NPM 下载。
关键变化:
- 添加了新的“审核签名”命令来对已安装软件包的完整性进行本地审核,这不需要使用 PGP 实用程序进行操作。 新的验证机制基于使用基于ECDSA算法的数字签名以及使用HSM(硬件安全模块)进行密钥管理。 NPM 存储库中的所有包都已使用新方案重新签名。
- 增强型两因素身份验证已宣布可广泛使用。 向 npm CLI 添加了简化的登录和发布流程,通过浏览器运行。 当您指定“—auth-type=web”选项时,将使用在浏览器中打开的 Web 界面来验证帐户。 会话参数被记住。 要建立会话,您需要使用一次性密码(OTP)确认您的电子邮件,并且在已建立的会话中执行操作时,您只需要确认双因素身份验证的第二阶段。 提供记住模式,允许您在 5 分钟内从同一 IP、使用同一 token 执行发布操作,无需额外的两步验证提示。
- 提供将 GitHub 和 Twitter 帐户链接到 NPM 的功能,允许您使用 GitHub 和 Twitter 帐户连接到 NPM。
进一步的计划提到,对于与每周下载量超过 1 万次或拥有超过 500 个依赖包的软件包关联的帐户,纳入强制双因素身份验证。 目前,强制双因素身份验证仅适用于前 500 个软件包。
来源: opennet.ru