BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Redpoint Games推出NPM包签名工具

| 作者 Andrew Morgan 关注 3 他的粉丝 ,译者 张兰月 关注 0 他的粉丝 发布于 2018年1月19日. 估计阅读时间: 3 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

亲爱的读者:我们最近添加了一些个人消息定制功能,您只需选择感兴趣的技术主题,即可获取重要资讯的邮件和网页通知

看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!

Redpoint推出了pkgsign,一个NPM的软件包签名和验证工具。它旨在确保上传至NPM注册表和从NPM注册表下载的包的真实性,从而提高安全性。

当你用NPM工作时,会出现一个潜在的安全问题,那就是包的作者无法验证。这意味着恶意软件包可以以合法软件的名义得以上传,反过来,任何依赖它的应用程序也可以照常执行这个软件包。

最近发生的一起事件证明了这点。当几个包从NPM注册表意外消失时,九个不知名的包被上传,取而代之。虽然这个问题现在已经解决了,但还是有一段空档期,在这期间,不可信的代码会被误用,就如同它们是合法的代码一样。

为了降低这种风险,Redpoint推出了pkgsign:

pkgsign是一个工具,它能为NPM和Yarn包添加签名并使用已知签名来验证这些包。为了简化操作,pkgsign还允许使用PGP私钥或keybase.io来签名包。

在安装Keybase和pkgsign之后,包作者可以导航到其软件包目录,并发出如下的命令来签署软件包:

pkgsign .

在这个过程中,一个“signature.json”文件将被添加到包中,其他用户可以用这个文件来验证作者的真实性。

通过使用Keybase,签名还可以连接到各种社交媒体帐户,这有助于进一步验证签名者的身份。同时,PGP签名也是可用的,这意味着作为替代选择,大公司可以生成PGP密钥并将其上传到公共域。

要验证当前你正在处理的包的依赖包,你可以再次发出下面这条命令:

pkgsign verify .--full

未来还将发布一个“代表签名”的功能。即使依赖项所有者本身未进行签名,这个功能也可以让软件包为其依赖包的内容签名。所以,它能够使包被完全签名。

需要指出的是,由于该工具仍然较新,所以有些软件包仍然没有用它进行签名:

目前pkgsign依赖于未签名的包(因为它还比较新!)。当你从GitHub或NPM安装pkgsign时,这些依赖包还不能得到验证。

如果pkgsign使用率增长,可能就会改变这一情况,但现在,建议你直接从GitHub克隆pkgsign项目,以确保你使用的是正确的版本。或者,你可以直接从NPM注册表中安装它,而不用签名。

查看英文原文Redpoint Games Launch NPM Package Signing Tool


感谢冬雨对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT