选用盛行的“NPM”JavaScript 包命令行的开发者们,现可选择选用镜像他们的 Twitter 和 GitHub 账号。在周四的一则网志该文中,GitHub 表示这种做法意在协助选用者更随心所欲地为保护其账户,同时精简了一些被认为过分紧迫的安全可靠优点。
或许,网络平台希望这种做法能紧密结合进一步增强的可靠性、和 NPM 包命令行的易用性。GitHub 商品副经理 Myles Borins 和 Monish Mohan 写到:
JavaScript 街道社区每晚通过 npm 浏览超过 50 万个包,于是 GitHub 也认识到了开发者为此保有的很高自信心。
做为 npm 系统文件的运营者,GitHub 致力持续投资并改良,以减少开发人员的信赖、和商品这类的整体可靠性。除了能镜像 Twitter 和 GitHub 账号做为加密方法,GitHub 还正式宣布选用双因素加密(2FA)来精简 NPM 登入和包正式发布。
网志该文指出,前日 NPM 已内测过XT736PA的 2FA 登入,并在汇报了街道社区意见反馈后,决定对这类机能予以调整,以令之对选用者更为亲善。
比如说加进了“读懂状况 5 两分钟”快捷键,以期在较长的时间内停止使用 2FA 提示信息。
Borins 和 Mohan 补足道:
选用 2FA 可显着提高账号可靠性,但若炫酷操作过程减少了太多磨擦,他们也不能责怪顾客不积极选用。
坏消息是,如前所述晚期选用者的意见反馈,他们意识到 2FA 新炫酷 —— 比如说选用 npm CLI 登入和正式发布的操作过程 —— 仍有较大的改良空间。
动向是,GitHub 在 7 月 26 日正式发布的 NPM 8.15.0 版中导入了改良后的安全可靠优点。
据介绍,做为 JavaScript 编程语言开源软件生态系统的核心部分,NPM 多年来一直是许多恶意行为者的目标。
攻击者的主要策略之一,就是通过购买向软件包正式发布者注册的过期域、并选用这些域来设置可用于接收软件包密码重置电子邮件的账号,从而获得软件包的控制权。
有鉴于此,在登入 NPM 账号时强制启用 2FA,将可极大地提高相关炫酷的可靠性。
最后,掌管 NPM 的 GitHub 也在努力提高各大代码托管网络平台的可靠性。
今年早些时候,该公司正式宣布所有贡献代码的选用者,都需要在 2023 年底前,启用某种形式的双因素验证。