Junto com melhorias significativas no npm, o GitHub anunciou que a autenticação de dois fatores sairá do beta e estará disponível para todos.
O GitHub anunciou a disponibilidade geral de três melhorias significativas no npm (Node Package Manager), com o objetivo de tornar o uso do software mais seguro e gerenciável.
Em resumo, os novos recursos incluem uma experiência de login e publicação mais simplificada, a capacidade de vincular contas do Twitter e GitHub ao npm e um novo sistema de verificação de assinatura de pacote.
Ao mesmo tempo, o GitHub anunciou que o programa de autenticação de dois fatores lançado em maio de 2022 está pronto para sair da versão beta e se tornar disponível para todos os usuários do npm.
GitHub anunciou que a autenticação de dois fatores sairá do beta
A plataforma npm é uma subsidiária do GitHub e é um gerenciador de pacotes e repositório (registro) para codificadores JavaScript, usado por projetos de desenvolvedores para baixar cinco bilhões de pacotes diariamente.
Recentemente, sofreu incidentes de segurança em grande escala que afetaram centenas de aplicativos e sites, forçando o GitHub a desenvolver e implementar urgentemente um plano de aumento de segurança.
O novo sistema de login e publicação npm permite que a autenticação seja tratada pelo navegador da Web, de modo que os tokens de autenticação válidos podem ser retidos na mesma sessão por até cinco minutos.
Essa mudança é para reduzir o atrito criado pela introdução do sistema 2FA, que forçou os desenvolvedores a inserir novas senhas de uso único em cada ação.
A nova opção de conectar contas do GitHub e Twitter ao npm visa ajudar a adicionar credibilidade e servir como uma forma de verificação de identidade para que as contas npm não possam se passar por criadores de softwares populares.
Além disso, este novo sistema deve ajudar na recuperação de contas quando necessário, tornando o processo mais confiável e menos complicado e preparando o terreno para mais automação no futuro.
Finalmente, há um novo sistema de auditoria de assinatura que substitui o processo PGP complexo de várias etapas anterior, permitindo aos desenvolvedores um método muito mais fácil de verificar a assinatura de pacotes npm.
Os usuários agora poderão validar a origem dos pacotes localmente usando o novo comando “npm audit signatures” na CLI do npm.
Simultaneamente, a plataforma reassina todos os pacotes com o algoritmo ECDSA (criptografia de curva elíptica) e usa HSM para gerenciamento de chaves, reforçando ainda mais a segurança.
A próxima etapa para proteger o registro npm é impor a autenticação de dois fatores em todas as contas que gerenciam pacotes com mais de um milhão de downloads semanais ou 500 dependentes.
O GitHub diz que isso será aplicado somente depois que o processo de recuperação de conta for aprimorado com formulários adicionais de verificação de identidade, portanto, nenhum cronograma rigoroso foi fornecido além de que está chegando.
