npm新特性:发布安全、消费安全
最近npm 围绕npm包生态系统安全性的使用体验上,发布了两个新功能: granular access tokens 、npm code explorer。
granular access token
我们都知道凭据被盗是数据泄漏的的主要原因之一。保护好凭据是一项非常具有挑战的任务,为了帮忙npm包维护者更好的管理他们的凭据,npm引入了granular access token一种更细粒度的token管理方式。
npm支持 automation tokens 已经有一段时间了,automation tokens 存在一个问题,它是有权限访问token owner的所有npm 包,这有可能造成token滥用或者意外泄漏导致严重的安全隐患。
而 granular access tokens拥有几大特点,能够更加灵活的进行权限控制。
-
能够针对具体的
packages and scopes进行权限控制。 -
能够对具体的
Organizations进行权限控制。 -
能够设置
token的过期时间。 -
能够基于 IP 地址范围限制令牌访问。
-
能够对令牌进行只读或者读写的访问权限控制。
具体的使用入口在这里。
Code explorer
Code explorer 原本是一项付费功能,多年来一直供团队和专业用户使用。现在决定对所有用户公开、免费使用。
为什么需要这么一个功能呢?以前开发者们如果想检查一个包的内容,大多数时候可能是选择直接 npm install,但是这个操作不一定就是绝对安全的,因为安装过程中可能会涉及到恶意代码或者恶意的脚本文件。
如今有了Code explorer我们在npm官方网站就可以直接查看包的内容、并进行代码检查。
关注我了解更多nodejs相关内容。
