为了提高NPM JavaScript包的安全性,GitHub正在添加细粒度访问令牌,为NPM帐户提供细粒度权限,并使其NPM代码浏览器功能对用户免费。
GitHub 12月6日解释了证书被盗是数据泄露的主要原因。为了帮助NPM维护者更好地管理他们的风险暴露,GitHub为NPM引入了一种粒度访问令牌类型。的粒度访问令牌允许NPM包维护者限制令牌可以访问的包和范围,授予特定组织访问权限,设置令牌过期日期,并基于IP地址范围限制访问。用户还可以选择只读或读写访问。在一个NPM帐户上可以创建多达50个粒度访问令牌。
粒度访问令牌还允许NPM组织所有者自动化组织管理。可以创建令牌来管理一个或多个组织、成员或团队。
代币的有效期最长为一年。GitHub表示,NPM中只有不到10%的代币被定期使用,这使得许多NPM代币不必要地处于非活动状态,增加了长寿命代币被破坏的可能性。定期轮换令牌并将其过期时间限制在最低要求,可以减少攻击向量的数量。
的NPM代码浏览器,同时,允许开发人员直接从NPM门户查看包的内容。因此,包装在使用前可以仔细检查。代码资源管理器以前是付费功能,现在可以免费公开使用,并进行了更新,提高了稳定性和速度。GitHub表示,该代码资源管理器可以与NPM注册表中的几乎所有包一起工作。
GitHub该公司为微软所有,收购了NPM在2020年。每个月NPM包的下载量超过2000亿次。