GitHub renforce la sécurité NPM
mar, 02/08/2022 - 08:00
GitHub annonce des améliorations sur la sécurité NPM. L'éditeur annonce ainsi des améliorations sur le login et la publication avec npm CLI, la connection GitHub et Twitter ou encore une nouvelle commande CLI pour vérifier l'intégrité des packages.
NPM est utilisé par des millions de développeurs et d'utilisateurs. GitHub veut donc renforcer la sécurité de son usage. Un des points importants est la sécurité des accès avec l'adoption du 2FA. L'éditeur annonce aussi des connexions npm via son compte Twitter ou GitHub. Pour la vérification des packages, on peut utiliser npm audit signatures. Jusqu'à présent, les mécanismes utilisaient PGP. GitHub implémente ECDSA (algo) et HSM (gestion des clés). La commande audit signatures est disponible avec npm CLI 8.13.0 et +.
GitHub prépare déjà d'autres évolutions sur la configuration de l'authentification à double facteur, la gestion de son profil, comment vérifier les registres de signatures.