GitHub 宣布發布 NPM 8.15 套件管理器,包含在 Node.js 中並用於分發 JavaScript 模組。 值得注意的是,每天有超過 5 億個包透過 NPM 下載。
關鍵變化:
- 新增了新的「審核簽章」命令來對已安裝軟體包的完整性進行本機審核,這不需要使用 PGP 公用程式進行操作。 新的驗證機制是基於使用基於ECDSA演算法的數位簽章以及使用HSM(硬體安全模組)進行金鑰管理。 NPM 儲存庫中的所有套件都已使用新方案重新簽署。
- 增強型兩因素身份驗證已宣布可廣泛使用。 在 npm CLI 中新增了簡化的登入和發布流程,透過瀏覽器運行。 當您指定「—auth-type=web」選項時,將使用在瀏覽器中開啟的 Web 介面來驗證帳戶。 會話參數被記住。 要建立會話,您需要使用一次性密碼(OTP)確認您的電子郵件,並且在已建立的會話中執行操作時,您只需要確認雙重認證的第二階段。 提供記住模式,讓您在 5 分鐘內從同一 IP、使用相同 token 執行發布操作,無需額外的兩步驟驗證提示。
- 提供將 GitHub 和 Twitter 帳戶連結到 NPM 的功能,讓您可以使用 GitHub 和 Twitter 帳戶連接到 NPM。
進一步的計畫提到,對於與每週下載量超過 1 萬次或擁有超過 500 個依賴套件的軟體包關聯的帳戶,納入強制雙重認證。 目前,強制雙重認證僅適用於前 500 個軟體套件。
來源: opennet.ru