Yeni özellikler ayrıca sosyal medya hesaplarına bağlanma özelliğini de içerir
GitHub, güvenliğini ve yönetilebilirliğini iyileştirmeyi amaçlayan JavaScript paket yöneticisi npm’de üç geliştirme duyurdu.
npm’deki paketlerin bütünlüğünü doğrulamak için yeni bir CLI komutu tanıtıldı ve şimdi gelecek yılın başlarında sona erecek olan mevcut, daha hantal, çok adımlı PGP sürecinin yerini aldı.
“Son zamanlarda, güvenli ECDSA algoritmasına dayanan ve anahtar yönetimi için bir HSM kullanarak tüm npm paketlerini yeni imzalarla yeniden imzalamaya başladık ve artık npm’den yüklediğiniz paketlerin bütünlüğünü doğrulamak için bu imzaya güvenebilirsiniz, Sırasıyla GitHub ve npm’deki ürün yöneticileri Myles Borins ve Monish Mohan bir blog yazısında yazıyor.
“npm CLI sürüm 8.13.0 ve üzeri sürümlerde yeni bir denetim imzaları komutu sunduk.”
Sosyal bağlantılar
Ayrıca GitHub ve Twitter hesaplarını npm’ye bağlama yeteneği de yeni. Geliştiriciler GitHub ve Twitter tanıtıcılarını zaten ekleyebilse de, bu şimdiye kadar doğrulanmamış veya doğrulanmamış serbest biçimli bir metin alanıydı.
Artık hesaplar hem GitHub hem de Twitter ile resmi entegrasyonlar yoluyla bağlanabiliyor, bu da hesap kurtarmayı kolaylaştırıyor ve hesap kurtarmanın bir parçası olarak otomatik kimlik doğrulaması için temel oluşturuyor.
Son olarak, iki faktörlü kimlik doğrulamanın (2FA) benimsenmesini geliştiriciler için daha kolay hale getirmek için yapılan son geliştirme duyurularına ilişkin karışık geri bildirimlerin ardından, oturum açma ve yayınlama deneyimini düzene sokmak için npm 8.15.0’da sunulan yeni hamleler var.
Açık kaynaklı yazılımlarla ilgili en son güvenlik haberlerinin devamını okuyun
Oturum açma ve yayınlama kimlik doğrulaması artık tarayıcıda yönetilecek – oturum açma, yeni bir oturum oluşturmak için yalnızca ikinci faktör veya e-posta doğrulaması OTP’sini isteyen mevcut bir oturumu kullanabilir.
Bu arada, yayın artık ‘beni beş dakikalığına hatırla’ özelliğini destekliyor ve aynı IP + erişim belirtecinden sonraki yayınların beş dakikalık bir süre boyunca 2FA istemi olmadan gerçekleşmesine izin veriyor. GitHub, bunun özellikle bir npm çalışma alanından yayın yaparken kullanışlı olduğunu söylüyor.
Bu özellikler şu anda isteğe bağlıdır, ancak npm 9’da varsayılan deneyim haline gelecektir.
“Birincil hedefimiz npm kayıt defterini korumak olmaya devam ediyor ve bir sonraki önemli dönüm noktamız, haftalık bir milyondan fazla indirme veya 500 bağımlı kişi içeren paketleri yöneten tüm yüksek etkili hesaplar için 2FA’yı zorunlu kılacak ve hesap sayısını üçe katlayacak. ikinci bir faktörü benimsemeyi gerektiriyor,” diye yazıyor Borins ve Mohan.
“Bu yaptırımdan önce, ek kimlik doğrulama biçimleri sunmak ve sürecin mümkün olduğunca çoğunu otomatikleştirmek de dahil olmak üzere hesap kurtarma sürecimizde daha da fazla iyileştirme yapacağız.”
ŞUNLAR DA HOŞUNUZA GİDEBİLİR OX App Suite’teki RCE, SSRF hataları için Open-Xchange sorunları düzeltmeleri