GitHub a annoncé trois améliorations du gestionnaire de packages JavaScript NPM qui visent à améliorer sa sécurité et sa gérabilité.

Une nouvelle commande CLI a été introduite pour vérifier l’intégrité des packages dans NPM, remplaçant le processus PGP actuel, plus lourd et en plusieurs étapes, qui doit maintenant expirer au début de l’année prochaine.

« Récemment, nous avons commencé à re-signer tous les packages NPM avec de nouvelles signatures reposant sur l’algorithme sécurisé ECDSA et utilisant un HSM pour la gestion des clés, et vous pouvez désormais vous fier à cette signature pour vérifier l’intégrité des packages que vous installez à partir de NPM, ” écrit Myles Borins et Monish Mohan, chefs de produit chez GitHub et NPM, respectivement, dans un article de blog.

« Nous avons introduit une nouvelle commande de signatures d’audit dans la version 8.13.0 et supérieure de NPM CLI. »

Liens sociaux

Autre nouveauté, la possibilité de connecter des comptes GitHub et Twitter à NPM. Alors que les développeurs pouvaient déjà inclure leurs identifiants GitHub et Twitter, il s’agissait jusqu’à présent d’un champ de texte de forme libre qui n’était ni validé ni vérifié.

Désormais, les comptes peuvent être liés via des intégrations officielles avec GitHub et Twitter, ce qui facilite la récupération de compte et jette les bases d’une vérification d’identité automatisée dans le cadre de la récupération de compte.

Enfin, à la suite de commentaires mitigés sur l’annonce récente d’améliorations visant à faciliter l’adoption de l’authentification à deux facteurs (2FA) pour les développeurs, de nouvelles mesures ont été prises pour rationaliser l’expérience de connexion et de publication, disponibles dans NPM 8.15.0.

L’authentification de connexion et de publication sera désormais gérée dans le navigateur – la connexion peut utiliser une session existante, en demandant uniquement le deuxième facteur ou la vérification par e-mail OTP pour créer une nouvelle session.

Pendant ce temps, la publication prend désormais en charge « se souvenir de moi pendant cinq minutes », permettant aux publications ultérieures à partir du même jeton d’accès IP + d’avoir lieu sans l’invite 2FA pendant une période de cinq minutes. Ceci est particulièrement utile lors de la publication à partir d’un espace de travail NPM, explique GitHub.

Ces fonctionnalités sont actuellement facultatives, mais deviendront l’expérience par défaut dans NPM 9.

« Notre objectif principal continue de protéger le registre NPM, et notre prochaine étape majeure sera d’appliquer 2FA pour tous les comptes à fort impact, ceux qui gèrent des packages avec plus d’un million de téléchargements hebdomadaires ou 500 personnes à charge, triplant le nombre de comptes que nous allons nécessitent d’adopter un deuxième facteur », écrivent Borins et Mohan.

« Avant cette application, nous apporterons encore plus d’améliorations à notre processus de récupération de compte, notamment en introduisant des formes supplémentaires de vérification d’identité et en automatisant autant que possible le processus. »