GitHub釋出NPM 2FA及安全驗證相關改良功能


繼5月的公告預覽版後,GitHub為了實現2023年底全面實施雙因素驗證(2FA),本周公布多項相關的功能和使用經驗的改良。

為防止GitHub平臺上npm套件遭劫持並被有心人士改造成惡意版本,造成廣大的軟體用戶及企業受害,GitHub 2個月前宣布要求所有在GitHub.com上貢獻程式碼的使用者於2023年底啟用雙因素驗證(2 factor authentication,2FA),期間分階段擴大實施。

為了讓開發人員更方便使用2FA,GitHub最新公布的npm新功能,包括簡化以npm CLI登入和發布、連結GitHub和推特(Twitter)帳號到npm,以及重新簽發npm所有套件,並增加稽核套件完整性的新npm CLI指令。

首先,5月初GitHub以預覽版形式強化npm套件儲存庫的可使用性,早期測試者反應的問題主要在以npm CLI登入和發布方面。原來的設計可回溯相容到npm 6及其他用戶端,Yarn專案甚至加不到10行式程式碼,就能使新功能支援Yarn 1。而本周GitHub推出的npm 8.15.0版,更可讓開發人員在瀏覽器登入和發布驗證、而每次2FA驗證的token可在同一對話(session)中維持最高5分鐘,降低使用2FA的麻煩。

其次,過去npm帳號也可以連結其他平臺帳號,但這些資料並未經過驗證。透過新措施正式連結npm帳號到GitHub和推特,將可提供身分驗證自動化的基礎,有助於未來帳號被盜時的回復。

最後,在驗證套件方面,以前開發人員必須經過較多步驟來驗證npm套件的簽章,相當複雜且需要對PGP金鑰密碼學工具有一定了解。GitHub即將允許開發人員在npm CLI使用新的稽核簽章指令audit signatures,也計畫明年初淘汰PGP金鑰的驗證方式。新的audit signatures指令已經加入npm CLI 8.13.0以上的版本。

GitHub並宣布,最近已重新以ECDSA演算法重新簽發所有npm套件,並使用硬體加密器(Hardware Security Module,HSM)作為金鑰管理。



Read Rhis 👉 新聞來源
——
吹水:Just Share
t.me/BuzzerShare
——
via NG JCbwre7L
#臺灣 #TWN 🇹🇼
#iThomeOnline

留言