GitHubは、同社が管理するJavaScriptパッケージリポジトリnpmにおいて、以下のようなセキュリティ機能関係の改善を発表した。
npmコマンドラインインターフェースによる、ログインおよびパブリッシュの効率化
npmへの2FA
GitHub/Twitterアカウントからnpmへ接続可能に
npmのアカウントをGitHubアカウントやTwitterアカウントにリンクさせる機能を提供開始した。GitHubとTwitterの両方と公式に統合することでリンクが実行され、統合後は検証済みアカウントデータがnpmプロファイルに必ず含まれるようになる。従来の未検証のGitHubデータまたはTwitterデータはパブリックユーザープロフィールに表示されなくなるが、開発者はIDを監査して、アカウントが本人であると信頼できるようにすることが可能。
npm audit signatures npm audit signatures を使用して、パッケージをローカルで検証可能
これまで、npmユーザーがnpmパッケージの署名を検証するために多段階のプロセスが必要だった。この作業を行うためには暗号化ツールに関する知識も必要となり、ユーザにとっては非常にハードルが高かったが、新しいaudit signaturesコマンド