新功能还包括连接社交媒体帐户的能力
GitHub宣布了JavaScript软件包经理NPM的三个增强功能,旨在提高其安全性和可管理性。
引入了一个新的CLI命令,以验证NPM中的软件包的完整性,以取代当前,更麻烦,多步PGP流程,该流程现在将于明年年初到期。
“最近,我们开始工作以依靠安全的ECDSA算法并使用HSM进行密钥管理重新签名所有NPM软件包,您现在可以依靠此签名来验证您从NPM安装的包装的完整性,” Myles Borins和Github和NPM的产品经理Monish Mohan写道博客文章。
“我们已经在NPM CLI版本8.13.0及更高版本中引入了新的审核签名命令。”
社交联系
还可以将GITHUB和Twitter帐户连接到NPM的功能。虽然开发人员已经能够包含其GitHub和Twitter手柄,但直到现在,这是一个未经验证或验证的自由形式文本字段。
现在,可以通过与GitHub和Twitter的官方集成来链接帐户,使帐户恢复更加容易,并为自动身份验证奠定基础,作为帐户恢复的一部分。
最后,在最近宣布增强功能的反馈之后两因素身份验证(2FA)对于开发人员来说,采用更容易,有一些新的动作来简化NPM 8.15.0中的登录和发布体验。
登录和发布身份验证现在将在浏览器中进行管理 - 登录可以使用现有会话,仅提示第二个因素或电子邮件验证OTP创建一个新会话。
同时,发布现在支持“记住我五分钟”,允许随后的IP +访问令牌发布,可以在没有2FA提示的情况下进行五分钟的时间。Github说,这在从NPM工作区发布时特别有用。
这些功能目前选择加入,但将成为NPM 9中的默认体验。
“我们的主要目标继续保护NPM注册表,我们的下一个主要里程碑将为所有高影响力帐户强制执行2FA,那些管理包裹的每周下载超过一百万个或500个依赖者,我们将增加三倍需要第二个因素,”鲍林斯和莫汉写道。
“在执行之前,我们将对我们的帐户恢复流程进行更多改进,包括引入其他形式的身份验证,并尽可能多地自动化这一过程。”
