使用流行的“NPM”JavaScript包管理器的開發者們,現可選擇使用鏈接他們的Twitter和GitHub賬戶。在周二的一篇博客文章中,GitHub表示此舉旨在幫助用戶更輕松地保護其賬戶,同時簡化一些被認為過於繁重的安全特性。
顯然,平臺希望此舉能夠結合增強的安全性、以及 NPM 包管理器的可用性。GitHub 產品經理 Myles Borins 和 Monish Mohan 寫道:
JavaScript 社區每天通過 npm 下載超過 50 億個包,於是 GitHub 也認識到開發者對此擁有的極高信心。
作為 npm 註冊表的管理者,GitHub 致力於持續投資並改進,以增加開發人員的信任、以及產品本身的總體安全性。
除能夠鏈接 Twitter 和 GitHub 賬戶作為身份驗證方法,GitHub 還宣佈使用雙因素身份驗證(2FA)來簡化 NPM 登錄和包發佈。
博客文章指出,早前 NPM 已公測過增強型的 2FA 登錄,並在聽取社區反饋後,決定對某些功能加以調整,以使之對用戶更加友好。
比如添加“記住狀態 5 分鐘”選項,以便在較短的時間內禁用 2FA 提示。
Borins 和 Mohan 補充道:
采用 2FA 可顯著提升帳戶安全性,但若體驗過程增加太多摩擦,我們也不能埋怨客戶不積極采用。
好消息是,基於早期采用者的反饋,我們意識到 2FA 新體驗 —— 比如使用 npm CLI 登錄和發佈的過程 —— 仍有較大的改進空間。
最新動向是,GitHub 在 7 月 26 日發佈的 NPM 8.15.0 版本中引入改進後的安全特性。
據悉,作為 JavaScript 編程語言開源軟件生態系統的核心部分,NPM 多年來一直是許多惡意行為者的目標。
攻擊者的主要策略之一,就是通過購買向軟件包發佈者註冊的過期域、並使用這些域來設置可用於接收軟件包密碼重置電子郵件的帳戶,從而獲得軟件包的控制權。
有鑒於此,在登錄 NPM 賬戶時強制啟用 2FA,將可極大地提升相關體驗的安全性。
最後,掌管 NPM 的 GitHub 也在努力提升各大代碼托管平臺的安全性。
今年早些時候,該公司宣佈所有貢獻代碼的用戶,都需要在 2023 年底前,啟用某種形式的雙因素驗證。