LINUX.ORG.RU

В NPM теперь требуется двухфакторная аутентификация для мейнтейнеров популярных пакетов

 


0

1

1 ноября GitHub объявила о включении обязательной двухфакторной аутентификации для мейнтейнеров популярных пакетов.

Популярность пакета определяется двумя параметрами:

  • от 1 миллиона загрузок в неделю;
  • нахождение в зависимостях у более чем 500 пакетов.

В качестве средств второго уровня аутентификации поддерживаются:

  • Authy,
  • Google Authenticator,
  • FreeOTP,
  • аппаратные ключи и биометрические сканеры с поддержкой WebAuth.

>>> Подробности

★★★★★

Проверено: hobbit ()

Ответ на: комментарий от grem

npm, Inc. is a company founded in 2014, and was acquired by GitHub in 2020. npm is a critical part of the JavaScript community and helps support one of the largest developer ecosystems in the world.

Zhbert ★★★★★ ()
Ответ на: комментарий от Zhbert

Ну ладно. Но все последние крупные проблемы, связанные с npm, были связаны с действиями самих мениейнеров/разработчиков пакетов.

grem ★★★★★ ()
Ответ на: комментарий от grem

Но все последние крупные проблемы, связанные с npm, были связаны с действиями самих мениейнеров/разработчиков пакетов.

Ага. Я тоже сначала подумал, что цель предотвратить вот это, но, походу, нет.

Zhbert ★★★★★ ()
Ответ на: комментарий от Zhbert

Цель - навязать всякую бюрократию, начать удобнее с тех кому аккаунты лично ценнее, они с меньшей вероятностью просто пошлют нафиг всё это. Впрочем, плевать, нормальные люди npm-ом не пользуются.

firkax ★★★ ()
Последнее исправление: firkax (всего исправлений: 2 )

А что, поддерживать npm модуль можно только на GH? Если нет то я бы просто назло им переехал репозиторий на какую-нибудь маргинальщину без 2FA.

slovazap ★★★★★ ()
Ответ на: комментарий от Zhbert

Цель - чтобы мантейнеры после злонамеренных действий не могли отвертеться и пошли по 273 статье или её аналогам в других странах.

slovazap ★★★★★ ()
Ответ на: комментарий от grem

Так как майкрософт владелец npm вероятно она хочет избежать вероятности судебных тяжб в сторону себя по причине что с их сервиса под видом некой libjs будет распространаяться массово малварь или типа того, вот и. На правах конспирологии

LINUX-ORG-RU ★★★★★ ()
Последнее исправление: LINUX-ORG-RU (всего исправлений: 1 )

Поставить FreeOTP из F-Droid и вводить цифры когда делаешь npm publish, это не такая уж и проблема.

k_andy ★★★ ()

Включая авторов всех зависимых?

crutch_master ★★★★★ ()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.