Upravljanje JavaScript paketima postaje još sigurnije uz novo ažuriranje NPM-a
Matična tvrtka NPM-a, GitHub, također radi na poboljšanju sigurnosti na svojoj platformi za hosting koda te je objavila da će svi korisnici morati imati omogućen neki oblik 2FA do kraja 2023.
GitHub najavljuje promjene koje će poboljšati korisničko iskustvo i pojačati sigurnost korištenja NPM-a.
“JavaScript zajednica dnevno preuzima više od 5 milijardi paketa s NPM-a, a mi u GitHubu prepoznajemo koliko je važno da developeri to mogu učiniti s povjerenjem,” napisali su voditelji proizvoda GitHuba Myles Borins i Monish Mohan. "Kao upravitelji npm registra, važno je da nastavimo ulagati u poboljšanja koja povećavaju povjerenje developera i ukupnu sigurnost samog registra."
Pojednostavljena prijava i iskustvo objavljivanja
Osim mogućnosti povezivanja Twitter i GitHub računa kao metode autentifikacije, GitHub je također najavio da će korištenje dvofaktorske autentifikacije (2FA) za prijavu i objavljivanje paketa na NPM-u biti olakšano.
NPM je prethodno isprobao korištenje poboljšanih 2FA prijava u javnom beta izdanju, ali je nakon povratnih informacija zajednice odlučio da se određene značajke trebaju prilagoditi kako bi bile jednostavnije za korištenje. To uključuje dodavanje opcije "zapamti me na 5 minuta" kako bi korisnici koji su se uspješno autentificirali mogli onemogućiti 2FA upite za to vrijeme prenosi The Verge.
"Ova poboljšana iskustva olakšat će korisnicima da osiguraju svoje račune. Siguran račun početak je sigurnog ekosustava. Provjerite našu dokumentaciju kako biste saznali više o 2FA."
Povezivanje GitHub i Twitter računa na NPM
Developeri su i ranije mogli povezati svoje GitHub i Twitter račune sa NPM-om, no ti su podaci bili obično tekstualno polje slobodnog oblika koje nije zahtijevalo validaciju.
Od danas to više nije slučaj jer se povezivanje vašeg NPM računa s vašim GitHub i Twitter računima provodi putem službenih integracija što osigurava da su potvrđeni tj. validirani podaci o računu uključeni u NPM profile.
Potvrđena veza između vaših identiteta na različitim platformama značajno poboljšava sposobnost NPM-a prilikom vaših pokušaja oporavka računa. Ovi novi potvrđeni podaci postavljaju temelj za automatizaciju provjere identiteta.
Lokalna provjera NPM paketa
Do danas su se korisnici NPM-a morali oslanjati na proces u više koraka za provjeru valjanosti potpisa NPM paketa. Ovaj proces temeljen na PGP-u bio je složen i zahtijevao je od korisnika znanje o kriptografskim alatima što je developerima otežavalo posao. Developeri koji se oslanjaju na ovaj postojeći proces uskoro bi trebali početi koristiti novu naredbu npm audit signatures. PGP ključevi istječu početkom sljedeće godine.
Naredba se može koristiti u CLI verziji 8.13.0 i novijoj.
