GitHub объявил об общей доступности трех значительных улучшений npm (Node Package Manager)
GitHub объявил об общей доступности трех значительных улучшений npm (Node Package Manager)
GitHub объявил об общей доступности трех значительных усовершенствований npm (Node Package Manager), которые имеют целью сделать использование программного обеспечения более безопасным и управляемым.
Таким образом, новые функции включают более упрощенный вход и публикацию, возможность увязать учетные записи Twitter и GitHub с npm и новую систему проверки подписи пакета.
В то же время GitHub объявил, что представленная в мае 2022 года программа двухфакторной аутентификации готова выйти из бета-версии и станет доступна всем пользователям npm.
Платформа npm является дочерней компанией GitHub и является менеджером пакетов и репозиторием (реестром) для кодеров JavaScript, используемого проектами разработчиков для загрузки пяти миллиардов пакетов ежедневно.
Недавно он испытал масштабные инциденты безопасности, повлиявшие на сотни программ и веб-сайтов, что заставило GitHub разработать и срочно внедрить план повышения безопасности.
Новые функции в npm
Новая система входа и публикации npm позволяет обрабатывать проверку подлинности веб-браузером, поэтому действительные маркеры проверки подлинности могут храниться в одном сеансе до пяти минут.
Это изменение должно уменьшить трения, вызванные введением системы 2FA, которая заставляла разработчиков вводить новые одноразовые пароли во время каждого действия.
Новая опция для подключения аккаунтов GitHub и Twitter к npm направлена на то, чтобы помочь добавить доверие и служить формой проверки личности, чтобы учетные записи npm не могли выдать себя за создателей популярного программного обеспечения.
Кроме того, эта новая система должна помочь в восстановлении аккаунта, когда это необходимо, делая процесс более надежным и менее громоздким и закладывая основу для большей автоматизации в будущем.
Наконец, есть новая система аудита подписей, заменяющая предыдущий многоэтапный, сложный процесс PGP, позволяя разработчикам более простой метод проверки подписи пакетов npm.
Теперь пользователи смогут локально проверять источник пакетов с помощью новой команды npm audit signatures в npm CLI.
Одновременно платформа повторно подписывает все пакеты с помощью алгоритма ECDSA (криптография эллиптической кривой) и использует HSM для управления ключами, что еще больше повышает безопасность.
2FA относительно важных аккаунтов
Следующим шагом в защите реестра npm является применение двухфакторной аутентификации для всех аккаунтов, управляющих пакетами с более чем миллионом загрузок еженедельно или 500 dependents.
GitHub говорит, что это будет введено в действие только после того, как процесс восстановления аккаунта будет усовершенствован с помощью дополнительных форм подтверждения личности, поэтому не были предоставлены четкие временные рамки, кроме того, что это будет следующим.
