npm uvodi 2FA-odobrenje izdanja i kontrolu izvora instalacije

Kolege, želim da skrenem pažnju: u oblasti kibernetske bezbednosti npm je uveo staged publishing i nove zastavice za kontrolu izvora instalacije.
Staged publishing zahteva 2FA potvrdu održavaoca pre nego što paket postane dostupan; potreban je npm CLI ≥11.15 i uključena 2FA, a paket već mora biti u registru.
Zastavice --allow-file, --allow-remote i --allow-directory eksplicitno dozvoljavaju instalacije iz lokalnih fajlova, URL-arkiva i direktorijuma.
GitHub preporučuje da se staged publishing kombinuje sa pouzdanom publikacijom putem OIDC.
Zašto je važno: mere pojačavaju „proof of presence“ i otežavaju masovno trovanje paketa.
Kako Vi planirate da prilagodite procese publikovanja i instalacije paketa u Vašem timu?
#kibernetskaBezbednost #lanacSnabdevanja #npm #DevSecOps


Poslednji komentari
Još nema komentara.