BT

你的观点很重要! 快来参与InfoQ调研吧!

NPM发布新的安全功能

| 作者 David Iffland 关注 3 他的粉丝 ,译者 CarolGuo 关注 0 他的粉丝 发布于 2017年10月12日. 估计阅读时间: 3 分钟 | ArchSummit社交架构图谱:Facebook、Snapchat、Tumblr等背后的核心技术

近日,在Vancouver BC举行的Node.js互动会议上,npm公司宣布推出新的安全功能,旨在使npm注册表更加安全,防止攻击。

鉴于其广泛使用和JavaScript开发人员重度依赖npm软件包,注册表的安全性是至关重要的。如果攻击者获得被广泛引用的软件包的安全凭证,将会造成极大的危害。

新的npm令牌CLI工具提供了以更安全的方式创建令牌的方法。在认证令牌(auth token)意外泄露的情况下,令牌的作用会被限制,这一特性非常有用。例如:

npm token create —cidr=[10.0.0.1/32]

它将创建一个只能在给定的IP范围内使用的令牌。当令牌在源代码控制系统中或持续集成日志中泄漏时,该令牌仅在该IP范围内有用。如果攻击者获得令牌,它的作用已经被限定在特定的范围内。

现在也可用只读令牌:

npm token create —readonly

这种方式所创建的令牌只能用于读取软件包,不能发布。

还有一个新功能是使用双因素身份验证(two-factor authentication,2FA)来保护配置文件。可以用现有的身分验证程序如Google Authenticator将帐号关联起来,不需要使用手机短信。

当在auth-and-writes模式下启用2FA时,诸如发布新版本或更改“latest”标签的操作将需要来自认证者的一次性密码。以下是启用2FA时的进程截图。

目前,2FA的作用范围是基于单个配置的。这意味着,如果一个软件包有多个维护者,那么每个维护者都必须启用2FA。在不久的将来,npm将提供软件包级别的2FA功能。此外,使用私有代码仓库的企业将能够在企业级别启用2FA。

据npm的CTO CJ Silverio介绍,他们的目标之一是尽可能地确保注册表的安全。Silverio说:“npm想要变得非常可靠,让用户可以每天放心地使用npm”,而不用担心注册表的完整性问题。

开发人员可以通过npm install -g npm@next安装新的命令行工具。

查看英文原文NPM Releases New Security Features


感谢薛命灯对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT