使用流行的“NPM”JavaScript 包管理器的开发者们,现可选择使用链接他们的 Twitter 和 GitHub 账户。在周二的一篇博客文章中,GitHub 表示此举旨在帮助用户更轻松地保护其账户,同时简化了一些被认为过于繁重的安全特性。
显然,平台希望此举能够结合增强的安全性、以及 NPM 包管理器的可用性。GitHub 产品经理 Myles Borins 和 Monish Mohan 写道:
JavaScript 社区每天通过 npm 下载超过 50 亿个包,于是 GitHub 也认识到了开发者对此拥有的极高信心。
作为 npm 注册表的管理者,GitHub 致力于持续投资并改进,以增加开发人员的信任、以及产品本身的总体安全性。
除了能够链接 Twitter 和 GitHub 账户作为身份验证方法,GitHub 还宣布使用双因素身份验证(2FA)来简化 NPM 登录和包发布。
博客文章指出,早前 NPM 已公测过增强型的 2FA 登录,并在听取了社区反馈后,决定对某些功能加以调整,以使之对用户更加友好。
比如添加了“记住状态 5 分钟”选项,以便在较短的时间内禁用 2FA 提示。
Borins 和 Mohan 补充道:
采用 2FA 可显着提升帐户安全性,但若体验过程增加了太多摩擦,我们也不能埋怨客户不积极采用。
好消息是,基于早期采用者的反馈,我们意识到 2FA 新体验 —— 比如使用 npm CLI 登录和发布的过程 —— 仍有较大的改进空间。
最新动向是,GitHub 在 7 月 26 日发布的 NPM 8.15.0 版本中引入了改进后的安全特性。
据悉,作为 JavaScript 编程语言开源软件生态系统的核心部分,NPM 多年来一直是许多恶意行为者的目标。
攻击者的主要策略之一,就是通过购买向软件包发布者注册的过期域、并使用这些域来设置可用于接收软件包密码重置电子邮件的帐户,从而获得软件包的控制权。
有鉴于此,在登录 NPM 账户时强制启用 2FA,将可极大地提升相关体验的安全性。
最后,掌管 NPM 的 GitHub 也在努力提升各大代码托管平台的安全性。
今年早些时候,该公司宣布所有贡献代码的用户,都需要在 2023 年底前,启用某种形式的双因素验证。