+38/050/370-3627
+38/067/502-3306
+38/044/257-2444
Новини

GitHub оголосив про загальну доступність трьох значних покращень npm (Node Package Manager)

GitHub оголосив про загальну доступність трьох значних покращень npm (Node Package Manager)

GitHub оголосив про загальну доступність трьох значних удосконалень npm (Node Package Manager), які мають на меті зробити використання програмного забезпечення більш безпечним і керованим.
 
Таким чином, нові функції включають більш спрощений вхід і публікацію, можливість пов’язати облікові записи Twitter і GitHub з npm і нову систему перевірки підпису пакета.
 
У той же час GitHub оголосив, що представлена в травні 2022 року програма двофакторної аутентифікації готова вийти з бета-версії та стане доступною для всіх користувачів npm.
Платформа npm є дочірньою компанією GitHub і є менеджером пакунків і репозиторієм (реєстром) для кодерів JavaScript, який використовується проектами розробників для завантаження п’яти мільярдів пакетів щодня.
 
Нещодавно він зазнав масштабних інцидентів безпеки, які вплинули на сотні програм і веб-сайтів, що змусило GitHub розробити та терміново впровадити план підвищення безпеки.
 
Нові функції в npm
Нова система входу та публікації npm дозволяє обробляти автентифікацію веб-браузером, тому дійсні маркери автентифікації можуть зберігатися в одному сеансі до п’яти хвилин.
Ця зміна має на меті зменшити тертя, спричинені запровадженням системи 2FA, яка змушувала розробників вводити нові одноразові паролі під час кожної дії.
 
Нова опція для підключення облікових записів GitHub і Twitter до npm спрямована на те, щоб допомогти додати довіру та служити формою перевірки особи, щоб облікові записи npm не могли видати себе за творців популярного програмного забезпечення.
Крім того, ця нова система має допомогти у відновленні облікового запису, коли це необхідно, роблячи процес більш надійним і менш громіздким і закладаючи основу для більшої автоматизації в майбутньому.
 
Нарешті, є нова система аудиту підписів, яка замінює попередній багатоетапний, складний процес PGP, дозволяючи розробникам набагато простіший метод перевірки підпису пакетів npm.
 
Тепер користувачі зможуть локально перевіряти джерело пакетів за допомогою нової команди «npm audit signatures» у npm CLI.
Одночасно платформа повторно підписує всі пакети за допомогою алгоритму ECDSA (криптографія еліптичної кривої) і використовує HSM для керування ключами, що ще більше підвищує безпеку.
 
2FA щодо важливих облікових записів
Наступним кроком у захисті реєстру npm є застосування двофакторної автентифікації для всіх облікових записів, які керують пакетами з понад мільйоном завантажень щотижня або 500 dependents.
 
GitHub каже, що це буде введено в дію лише після того, як процес відновлення облікового запису буде вдосконалено за допомогою додаткових форм підтвердження особи, тому не було надано чітких часових рамок, окрім того, що це буде наступним.

Інші новини