改进安全体验:NPM用户现可链接Twitter与GitHub账户

2022年07月27日 14:59 次阅读 稿源:cnBeta.COM 条评论

使用流行的“NPM”JavaScript 包管理器的开发者们,现可选择使用链接他们的 Twitter 和 GitHub 账户。在周二的一篇博客文章中,GitHub 表示此举旨在帮助用户更轻松地保护其账户,同时简化了一些被认为过于繁重的安全特性。

1.png

显然,平台希望此举能够结合增强的安全性、以及 NPM 包管理器的可用性。GitHub 产品经理 Myles Borins 和 Monish Mohan 写道:

JavaScript 社区每天通过 npm 下载超过 50 亿个包,于是 GitHub 也认识到了开发者对此拥有的极高信心。

作为 npm 注册表的管理者,GitHub 致力于持续投资并改进,以增加开发人员的信任、以及产品本身的总体安全性。

2.jpg

除了能够链接 Twitter 和 GitHub 账户作为身份验证方法,GitHub 还宣布使用双因素身份验证(2FA)来简化 NPM 登录和包发布。

博客文章指出,早前 NPM 已公测过增强型的 2FA 登录,并在听取了社区反馈后,决定对某些功能加以调整,以使之对用户更加友好。

比如添加了“记住状态 5 分钟”选项,以便在较短的时间内禁用 2FA 提示。

3.gif

Borins 和 Mohan 补充道:

采用 2FA 可显着提升帐户安全性,但若体验过程增加了太多摩擦,我们也不能埋怨客户不积极采用。

好消息是,基于早期采用者的反馈,我们意识到 2FA 新体验 —— 比如使用 npm CLI 登录和发布的过程 —— 仍有较大的改进空间。

最新动向是,GitHub 在 7 月 26 日发布的 NPM 8.15.0 版本中引入了改进后的安全特性。

4.gif

据悉,作为 JavaScript 编程语言开源软件生态系统的核心部分,NPM 多年来一直是许多恶意行为者的目标。

攻击者的主要策略之一,就是通过购买向软件包发布者注册的过期域、并使用这些域来设置可用于接收软件包密码重置电子邮件的帐户,从而获得软件包的控制权。

有鉴于此,在登录 NPM 账户时强制启用 2FA,将可极大地提升相关体验的安全性。

最后,掌管 NPM 的 GitHub 也在努力提升各大代码托管平台的安全性。

今年早些时候,该公司宣布所有贡献代码的用户,都需要在 2023 年底前,启用某种形式的双因素验证。

相关文章:

数千开发者的npm账户在使用域名已过期的电子邮件地址

GitHub现强制要求Top-500 npm包维护者启用双因素身份认证

我们在FebBox(https://www.febbox.com/cnbeta) 开通了新的频道,更好阅读体验,更及时更新提醒,欢迎前来阅览和打赏。

对文章打分

改进安全体验:NPM用户现可链接Twitter与GitHub账户

1 (20%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan