使用流行的“NPM”JavaScript 包管理器的開發者們,現可選擇使用鏈接他們的 Twitter 和 GitHub 賬戶。在周二的一篇博客文章中,GitHub 表示此舉旨在幫助用戶更輕鬆地保護其賬戶,同時簡化了一些被認為過於繁重的安全特性。
顯然,平台希望此舉能夠結合增強的安全性、以及 NPM 包管理器的可用性。GitHub 產品經理 Myles Borins 和 Monish Mohan 寫道:
JavaScript 社區每天通過 npm 下載超過 50 億個包,於是 GitHub 也認識到了開發者對此擁有的極高信心。
作為 npm 註冊表的管理者,GitHub 致力於持續投資並改進,以增加開發人員的信任、以及產品本身的總體安全性。
除了能夠鏈接 Twitter 和 GitHub 賬戶作為身份驗證方法,GitHub 還宣布使用雙因素身份驗證(2FA)來簡化 NPM 登錄和包發布。
博客文章指出,早前 NPM 已公測過增強型的 2FA 登錄,並在聽取了社區反饋后,決定對某些功能加以調整,以使之對用戶更加友好。
比如添加了“記住狀態 5 分鐘”選項,以便在較短的時間內禁用 2FA 提示。
Borins 和 Mohan 補充道:
採用 2FA 可顯着提升帳戶安全性,但若體驗過程增加了太多摩擦,我們也不能埋怨客戶不積極採用。
好消息是,基於早期採用者的反饋,我們意識到 2FA 新體驗 —— 比如使用 npm CLI 登錄和發布的過程 —— 仍有較大的改進空間。
最新動向是,GitHub 在 7 月 26 日發布的 NPM 8.15.0 版本中引入了改進后的安全特性。
據悉,作為 JavaScript 編程語言開源軟件生態系統的核心部分,NPM 多年來一直是許多惡意行為者的目標。
攻擊者的主要策略之一,就是通過購買向軟件包發布者註冊的過期域、並使用這些域來設置可用於接收軟件包密碼重置電子郵件的帳戶,從而獲得軟件包的控制權。
有鑒於此,在登錄 NPM 賬戶時強制啟用 2FA,將可極大地提升相關體驗的安全性。
最後,掌管 NPM 的 GitHub 也在努力提升各大代碼託管平台的安全性。
今年早些時候,該公司宣布所有貢獻代碼的用戶,都需要在 2023 年底前,啟用某種形式的雙因素驗證。
相關文章:
數千開發者的npm賬戶在使用域名已過期的電子郵件地址
GitHub現強制要求Top-500 npm包維護者啟用雙因素身份認證