使用流行的“NPM”JavaScript 包管理器的開發(fā)者們，現(xiàn)可選擇使用鏈接他們的 Twitter 和 GitHub 賬戶。在周二的一篇博客文章中，GitHub 表示此舉旨在幫助用戶更輕松地保護其賬戶，同時簡化了一些被認為過于繁重的安全特性。

顯然，平臺希望此舉能夠結(jié)合增強的安全性、以及 NPM 包管理器的可用性。GitHub 產(chǎn)品經(jīng)理 Myles Borins 和 Monish Mohan 寫道：

JavaScript 社區(qū)每天通過 npm 下載超過 50 億個包，于是 GitHub 也認識到了開發(fā)者對此擁有的極高信心。

作為 npm 注冊表的管理者，GitHub 致力于持續(xù)投資并改進，以增加開發(fā)人員的信任、以及產(chǎn)品本身的總體安全性。

除了能夠鏈接 Twitter 和 GitHub 賬戶作為身份驗證方法，GitHub 還宣布使用雙因素身份驗證（2FA）來簡化 NPM 登錄和包發(fā)布。

博客文章指出，早前 NPM 已公測過增強型的 2FA 登錄，并在聽取了社區(qū)反饋后，決定對某些功能加以調(diào)整，以使之對用戶更加友好。

比如添加了“記住狀態(tài) 5 分鐘”選項，以便在較短的時間內(nèi)禁用 2FA 提示。

Borins 和 Mohan 補充道：

采用 2FA 可顯著提升帳戶安全性，但若體驗過程增加了太多摩擦，我們也不能埋怨客戶不積極采用。

好消息是，基于早期采用者的反饋，我們意識到 2FA 新體驗 —— 比如使用 npm CLI 登錄和發(fā)布的過程 —— 仍有較大的改進空間。

最新動向是，GitHub 在 7 月 26 日發(fā)布的 NPM 8.15.0 版本中引入了改進后的安全特性。

據(jù)悉，作為 JavaScript 編程語言開源軟件生態(tài)系統(tǒng)的核心部分，NPM 多年來一直是許多惡意行為者的目標。

攻擊者的主要策略之一，就是通過購買向軟件包發(fā)布者注冊的過期域、并使用這些域來設(shè)置可用于接收軟件包密碼重置電子郵件的帳戶，從而獲得軟件包的控制權(quán)。

有鑒于此，在登錄 NPM 賬戶時強制啟用 2FA，將可極大地提升相關(guān)體驗的安全性。

最后，掌管 NPM 的 GitHub 也在努力提升各大代碼托管平臺的安全性。

今年早些時候，該公司宣布所有貢獻代碼的用戶，都需要在 2023 年底前，啟用某種形式的雙因素驗證。

（舉報）