如何用AI技术降噪? QCon 广州“音视频架构实践”专场给你答案! 了解详情
写点什么

NPM 发布新的安全功能

  • 2017 年 10 月 11 日
  • 本文字数:843 字

    阅读完需:约 3 分钟

近日,在 Vancouver BC 举行的 Node.js 互动会议上,npm 公司宣布推出新的安全功能,旨在使 npm 注册表更加安全,防止攻击。

鉴于其广泛使用和 JavaScript 开发人员重度依赖 npm 软件包,注册表的安全性是至关重要的。如果攻击者获得被广泛引用的软件包的安全凭证,将会造成极大的危害。

新的 npm 令牌 CLI 工具提供了以更安全的方式创建令牌的方法。在认证令牌(auth token)意外泄露的情况下,令牌的作用会被限制,这一特性非常有用。例如:

npm token create —cidr=[10.0.0.1/32]

它将创建一个只能在给定的 IP 范围内使用的令牌。当令牌在源代码控制系统中或持续集成日志中泄漏时,该令牌仅在该 IP 范围内有用。如果攻击者获得令牌,它的作用已经被限定在特定的范围内。

现在也可用只读令牌:

npm token create —readonly

这种方式所创建的令牌只能用于读取软件包,不能发布。

还有一个新功能是使用双因素身份验证(two-factor authentication,2FA)来保护配置文件。可以用现有的身分验证程序如 Google Authenticator将帐号关联起来,不需要使用手机短信。

当在auth-and-writes 模式下启用2FA 时,诸如发布新版本或更改“latest”标签的操作将需要来自认证者的一次性密码。以下是启用2FA 时的进程截图。

目前,2FA 的作用范围是基于单个配置的。这意味着,如果一个软件包有多个维护者,那么每个维护者都必须启用2FA。在不久的将来,npm 将提供软件包级别的2FA 功能。此外,使用私有代码仓库的企业将能够在企业级别启用2FA。

据npm 的CTO CJ Silverio 介绍,他们的目标之一是尽可能地确保注册表的安全。Silverio 说:“npm 想要变得非常可靠,让用户可以每天放心地使用npm”,而不用担心注册表的完整性问题。

开发人员可以通过 npm install -g npm@next安装新的命令行工具。

查看英文原文 NPM Releases New Security Features


感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017 年 10 月 11 日 19:001045
用户头像

发布了 21 篇内容, 共 80878 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

场外OTC交易系统开发|场外OTC交易软件APP开发

系统开发

JUST技术:提升基于GPS轨迹的路网推测精确度

京东科技开发者

人工智能

android高级开发面试!面试中Handler这些必备知识点你都知道吗?面试真题解析

欢喜学安卓

android 程序员 面试 移动开发

Apay矿机系统开发

v16629866266

Docker 容器健康检查

K8sCat

Docker Dockerfile HEALTHCHECK

全网最全!彻底弄透Java处理GMT/UTC日期时间

YourBatman

GMT UTC JSR310 TimeZone ZoneId

Elasticsearch document id 生成方式

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

安卓开发视频教程!2021年Android常见面试题,附面试题答案

欢喜学安卓

android 程序员 面试 移动开发

云课堂开发实践:白板教程

拍乐云Pano

音视频 在线教育 RTC 互动白板 在线白板

六步带你完成博流wifi模组对接华为云流程

华为云开发者联盟

网络 华为云 sdk 博流 wifi模组

突破开源Redis的内存限制,存算分离的GaussDB到底有多能“装”?

华为云开发者联盟

redis 存储 华为云 GaussDB 存算分离

华为云登顶HotpotQA多跳知识推理问答评测

华为云开发者联盟

深度学习 华为 华为云

DBA 的效率加速器——CloudQuery v1.3.2 上线!

CloudQuery社区

数据库 运维 开发日志 dba 数据库管理工具

【转载】Springboot2.x的AOP默认代理方式

程序员架构进阶

Java aop SpringBoot 2 动态代理

Java 程序经验小结:接口优先于反射机制

后台技术汇

28天写作

Soul网关源码阅读(九)插件配置加载初探

Java 源码阅读 网关

一周信创舆情观察(1.11~1.17)

统小信uos

Spring 源码学习 16:单例 Bean 创建

程序员小航

Java spring 源码

Redis 学习笔记 09:数据库

架构精进之路

redis 七日更 28天写作

【CSS】带边框的三角形(position)

德育处主任

css3 大前端 html/css CSS小技巧 28天写作

19年末我从外包辞职了,10000+小时后,走进字节跳动拿了offer

Java架构追梦

Java 架构 字节跳动 面试

【Http】- Http之状态码

双木之林

网络 HTTP

双仓合约量化交易系统开发搭建

薇電13242772558

区块链 数字货币

python+requests接口测试基础

测试人生路

软件测试

2021年国产数据库名录和产品信息一览

墨天轮

数据库 大数据 程序员 运维 SQL优化

17家国产数据库厂商的2020年度事件大盘点:项目签约与验收、新版本发布等

墨天轮

数据库 国产化

Git神作!2021年Java春招高级面试指南,吃透至少P7

比伯

Java 编程 架构 面试 计算机

一个不兼容的 JS 方法,让你的网站发生崩溃

老魚

JavaScript 网站 程序猿 移动端

数据库周刊56丨17家数据库厂商2020大事件盘点;第十届PG中国技术大会圆满举办;pg wal目录膨胀异常分析;Oracle RAC等待事件总结;云和恩墨技术通讯2020年刊特辑……

墨天轮

MySQL 数据库 oracle postgre

数字货币交易所APP开发|数字货币交易所软件系统开发

系统开发

「云智公开课」百度沧海·存储

「云智公开课」百度沧海·存储

NPM发布新的安全功能_JavaScript_David Iffland_InfoQ精选文章