GitHub presenta 2FA y mejoras en la calidad de vida para npm

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

GitHub ha anunciado la disponibilidad general de tres mejoras significativas en npm (Node Package Manager), con el objetivo de hacer que el uso del software sea más seguro y manejable.

En resumen, las nuevas funciones incluyen una experiencia de inicio de sesión y publicación más optimizada, la capacidad de vincular cuentas de Twitter y GitHub a npm y un nuevo sistema de verificación de firmas de paquetes.

Al mismo tiempo, GitHub anunció que el programa de autenticación de dos factores presentado en mayo de 2022 está listo para salir de la versión beta y estar disponible para todos los usuarios de npm.

La plataforma npm es una subsidiaria de GitHub y es un administrador de paquetes y un repositorio (registro) para codificadores de JavaScript, utilizados por los proyectos de los desarrolladores para descargar cinco mil millones de paquetes diariamente.

Recientemente sufrió incidentes de seguridad a gran escala que afectaron a cientos de aplicaciones y sitios web, lo que obligó a GitHub a desarrollar e implementar con urgencia un plan para aumentar la seguridad.

Nuevas características en npm

El nuevo sistema de inicio de sesión y publicación de npm permite que el navegador web maneje la autenticación, por lo que los tokens de autenticación válidos se pueden retener en la misma sesión hasta por cinco minutos.

Este cambio es para reducir la fricción creada por la introducción del sistema 2FA, que obligó a los desarrolladores a ingresar nuevas contraseñas de un solo uso en cada acción.

La nueva opción para conectar cuentas de GitHub y Twitter a npm tiene como objetivo ayudar a agregar credibilidad y servir como una forma de verificación de identidad para que las cuentas de npm no puedan hacerse pasar por creadores de software popular.

Además, este nuevo sistema debería ayudar con la recuperación de la cuenta cuando sea necesario, haciendo que el proceso sea más confiable y menos engorroso y sentando las bases para una mayor automatización en el futuro.

Finalmente, hay un nuevo sistema de auditoría de firmas que reemplaza el proceso PGP complejo de varios pasos anterior, lo que permite a los desarrolladores un método mucho más fácil para verificar la firma de los paquetes npm.

Los usuarios ahora podrán validar la fuente de los paquetes localmente usando el nuevo comando "npm audit signatures" en la CLI de npm.

Al mismo tiempo, la plataforma vuelve a firmar todos los paquetes con el algoritmo ECDSA (criptografía de curva elíptica) y utiliza HSM para la gestión de claves, lo que refuerza aún más la seguridad.

2FA en cuentas importantes

El siguiente paso para asegurar el registro de npm es aplicar la autenticación de dos factores en todas las cuentas que administran paquetes con más de un millón de descargas semanales o 500 dependientes.

GitHub dice que esto se aplicará solo después de que el proceso de recuperación de la cuenta se mejore aún más con formularios de verificación de identidad adicionales, por lo que no se proporcionaron plazos estrictos, además de lo siguiente.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta