NPM用户现在可以连接Twitter帐户作为恢复方法

使用流行的JavaScript包管理器NPM的开发人员现在可以将他们的Twitter和GitHub帐户连接到该软件作为恢复方法。此举是在周二宣布的，同时还有一些其他功能旨在将增强的安全性与GitHub拥有的包管理器的可用性相结合。

GitHub在一篇博文中表示，这些更改将使用户更容易保护他们的帐户，同时还简化了一些用户认为繁重的安全功能。

GitHub产品经理MylesBorins和MonishMohan写道：“JavaScript社区每天从npm下载超过50亿个包，我们GitHub认识到开发人员可以满怀信心地这样做是多么重要。”“作为npm注册表的管理者，重要的是我们继续投资于改进，以增加开发人员的信任和注册表本身的整体安全性。”

除了能够连接Twitter和GitHub帐户作为身份验证方法之外，GitHub还宣布使用双因素身份验证(2FA)在NPM上进行登录和包发布将变得更加容易。

根据博客文章，NPM之前曾在公开测试版中尝试使用增强的2FA登录，但在社区反馈后，决定对某些功能进行调整，以使其更加用户友好。这包括添加“记住我5分钟”选项，以便成功通过身份验证的用户可以在短时间内禁用2FA提示。

“采用2FA可以显着提高帐户安全性，但如果体验增加了太多摩擦，我们不能指望客户采用它，”Borins和Mohan写道。“我们新的2FA体验的早期采用者分享了有关使用npmCLI登录和发布过程的反馈，我们认识到还有改进的空间。”

该帖子称，7月26日发布的NPM8.15.0中提供了改进的安全功能。

作为JavaScript编程语言开源软件生态系统的核心部分，NPM多年来一直是许多恶意行为者的目标。攻击者的主要策略之一是通过购买向软件包发布者注册的过期域并使用这些域来设置可用于接收软件包密码重置电子邮件的电子邮件帐户来控制软件包。有鉴于此，在登录NPM帐户时增加2FA的使用将大大提高安全性。

NPM的母公司GitHub也在努力提高更大代码托管平台的安全性：今年早些时候，该公司宣布所有贡献代码的用户都需要在2023年底之前启用某种形式的2FA。

标签：