The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выпуск пакетного менеджера NPM 8.15 с поддержкой локальной проверки целостности пакетов

27.07.2022 09:42

Компания GitHub представила выпуск пакетного менеджера NPM 8.15, входящего в поставку Node.js и применяемого для распространения модулей на языке JavaScript. Отмечается, что ежедневно через NPM загружается более 5 миллиардов пакетов.

Ключевые изменения:

  • Добавлена новая команда "audit signatures" для проведения локального аудита целостности устанавливаемых пакетов, не требующая манипуляций с утилитами PGP. Новый механизм верификации основан на применении цифровых подписей на базе алгоритма ECDSA и использовании HSM (Hardware Security Module) для управления ключами. Все пакеты в репозитории NPM уже переподписаны с использованием новой схемы.
  • Объявлена доступной для повсеместного применения расширенная двухфакторная аутентификация. Добавлен упрощённый процесс входа и публикации в npm CLI, работающий через браузер. При указании опции "--auth-type=web" для аутентификации учётной записи используется web-интерфейс, открываемый в браузере. Параметры сеанса запоминаются. Для установки сеанса требуется подтвердить email при помощи одноразовых паролей (OTP), а при выполнении операций в уже установленных сеансах достаточно подтвердить второй этап двухфакторной аутентификации. Предоставляется режим запоминания, позволяющий в течение 5 минут выполнять операции публикации с того же IP и с тем же токеном без дополнительных запросов двухфакторной аутентификации.
  • Предоставлена возможность привязки учётных записей GitHub и Twitter к NPM, позволяющая подключаться к NPM, используя учётные записи в GitHub и Twitter.

Из дальнейших планов упоминается включение обязательной двухфакторной аутентификации для учётных записей, связанных с пакетами, насчитывающими более 1 млн загрузок в неделю или имеющих более 500 зависимых пакетов. В настоящее время обязательная двухфакторная аутентификация применяется только для 500 самых популярных пакетов.

  1. Главная ссылка к новости (https://github.blog/2022-07-26...)
  2. OpenNews: В NPM включена обязательная двухфакторная аутентификация для 500 самых популярных пакетов
  3. OpenNews: GitHub раскрыл данные о взломе инфраструктуры NPM и выявлении открытых паролей в логах
  4. OpenNews: Атака на немецкие компании через NPM-пакеты
  5. OpenNews: Уязвимость в репозитории NPM, позволяющая добавить сопровождающего без подтверждения
  6. OpenNews: Опубликован анализатор, выявивший 200 вредоносных пакетов в NPM и PyPI
Лицензия: CC-BY
Тип: Программы
Короткая ссылка: https://opennet.ru/57559-npm
Ключевые слова: npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (27) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Онаним (?), 09:48, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Новая версия популярного даунлоудера бэкдоров - это завсегда хорошо.
     
  • 1.3, Аноним (3), 10:18, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Удобненький языкок с удобненьким пакетным менеджером

    >привязки учётных записей GitHub и Twitter к NPM, позволяющая подключаться к NPM, используя учётные записи в GitHub и Twitter.

    с удобненькой авторизацией. Странно, что нет авторизации через Facebook, которая по паспорту - так было бы максимально удобненько.

     
     
  • 2.13, Аноним (13), 14:24, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Удобненький

    Товарищ майор, залогиньтесь!

     

  • 1.4, Аноним (3), 10:20, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >не требующая манипуляций с утилитами PGP. Новый механизм верификации основан на применении цифровых подписей на базе алгоритма ECDSA и использовании HSM (Hardware Security Module) для управления ключами.

    Вкусно и точка!

     
     
  • 2.5, Аноним (13), 11:25, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На фоне этого так называемая "двухфакторная идентификация" выглядит как недоразумение.
     
  • 2.19, Аноним (19), 15:41, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Жри, с.ка, и  точка!
     
     
  • 3.29, Онаним (?), 20:23, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сухо и др.чка.
    Сорян, навеяло.
     
  • 2.30, ОноНим (?), 11:34, 28/07/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вкус** * *очка
     

  • 1.6, Косой (?), 11:41, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    гитхаб = микрософт, микрософт = полный порядок!
    микрософт - это сила!
     
     
  • 2.10, NakedJoe (?), 12:41, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    NPM - Microsoft. Что сказать то хотел?
     
     
  • 3.26, Аноним (26), 19:46, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Na Pomoyku Microsoft
     
  • 2.32, microsoft (?), 21:00, 28/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Молодчинка, треть миски риса заработал. Можешь в 23.49 идти в клетку. Но в 5 снова чтоб на месте был!
     

  • 1.7, Аноним (7), 11:41, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > Предоставлена возможность привязки учётных записей  Twitter к NPM

    Как теперь Трампу опубликовать пакет?

     
     
  • 2.14, Аноним (14), 14:34, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Альцгеймерный помрёт - Трампа заново изберут.
     
     
  • 3.18, Аноним (19), 15:39, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Сначала паркинсонный.
     

  • 1.8, Аноним (8), 12:13, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    NPM - зло хуже жабаскрипта
     
     
  • 2.15, Аноним (-), 14:45, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Любила жаба гадюку и потом у них родились замечательные жабогадюшата.
     

  • 1.9, Аноним (9), 12:34, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Эм, я что-то пропустил? С чего это гитхаб стал разработчиком npm? Npm же разрабатывался теми же разработчиками, что и нода. Они под шумок ноду выкупили?
     
     
  • 2.11, another_one (ok), 12:45, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Npm же разрабатывался теми же разработчиками, что и нода

    Нет.

     
  • 2.12, амоним (?), 12:48, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https://www.zdnet.com/article/microsoft-buys-javascript-developer-platform-npm
     
     
  • 3.17, Аноним (17), 15:22, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо
     

  • 1.16, истина в последней инстанции (?), 15:18, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > с поддержкой локальной проверки целостности пакетов

    Шел 2022-ой год.

    Обезьянки такие обезьянки.

     
     
  • 2.20, Аноним (20), 16:19, 27/07/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Как же смешны и жалки C++ нищбероды из всяких НИИ на opennet.

    Эти обезьянки сейчас на Бали попивают пина-коладу, пока ты строчишь гневные комментарии в душном обосранном полуподвальном помещении.

     
     
  • 3.33, microsoft (?), 21:02, 28/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > попивают пина-коладу

    это временно, не волнуйся, пока вы нам нужны... полезные идиоты. а опосля рядышком с ними сядите.

     
  • 3.34, Вы забыли заполнить поле Name (?), 11:08, 29/07/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Эти обезьянки сейчас на Бали попивают пина-коладу

    Почему макаки всегда этим гордятся?

     

  • 1.21, ананоша (?), 16:22, 27/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Расслабьтесь, переехали уже на pnpm
     
  • 1.31, kuraga (ok), 18:14, 28/07/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что используется "вместо GPG"?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру