Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов.
Ключевые изменения:
- Добавлена новая команда "audit signatures" для проведения локального аудита целостности устанавливаемых пакетов, не требующая манипуляций с утилитами PGP. Новый механизм верификации основан на применении цифровых подписей на базе алгоритма ECDSA и использовании HSM (Hardware Security Module) для управления ключами. Все пакеты в репозитории NPM уже переподписаны с использованием новой схемы.
- Объявлена доступной для повсеместного применения расширенная двухфакторная аутентификация. Добавлен упрощённый процесс входа и публикации в npm CLI, работающий через браузер. При указании опции "--auth-type=web" для аутентификации учётной записи используется web-интерфейс, открываемый в браузере. Параметры сеанса запоминаются. Для установки сеанса требуется подтвердить email при помощи одноразовых паролей (OTP), а при выполнении операций в уже установленных сеансах достаточно подтвердить второй этап двухфакторной аутентификации. Предоставляется режим запоминания, позволяющий в течение 5 минут выполнять операции публикации с того же IP и с тем же токеном без дополнительных запросов двухфакторной аутентификации.
- Предоставлена возможность привязки учётных записей GitHub и Twitter к NPM, позволяющая подключаться к NPM, используя учётные записи в GitHub и Twitter.
Из дальнейших планов упоминается включение обязательной двухфакторной аутентификации для учётных записей, связанных с пакетами, насчитывающими более 1 млн загрузок в неделю или имеющих более 500 зависимых пакетов. В настоящее время обязательная двухфакторная аутентификация применяется только для 500 самых популярных пакетов.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://github.blog/2022-07-26...)
- OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
- OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- OpenNews: Атака на немецкие компании через NPM-пакеты
- OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
Похожие новости:
- В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
- GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
- Атака на немецкие компании через NPM-пакеты
- Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
- В NPM-пакет node-ipc внесено вредоносное изменение, удаляющее файлы на системах в России и Белоруссии
- В NPM включена обязательная двухфакторная аутентификация для 100 самых популярных пакетов
- Нарушение обратной совместимости в популярном NPM-пакете привело к сбоям в различных проектах
- Разработчик внёс деструктивные изменения в NPM-пакеты colors и faker, применяемые в 20 тысячах проектах
- GitHub внедряет в NPM обязательную расширенную верификацию учётных записей
- Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
Теги для поиска: #_npm
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:02
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов. Ключевые изменения:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 08:02
Часовой пояс: UTC + 5