Como conseguir as melhores oportunidades na área de tecnologia? Confira as dicas
Segurança Digital

GitHub aprimora autenticação em dois fatores do npm para todos os desenvolvedores

Novas melhorias na segurança do npm incluem login melhorado e experiência de publicação com o npm CLI

4 Minutos de Leitura

Hoje, o GitHub está anunciando a disponibilidade geral de uma experiência 2FA (autenticação em dois fatores) aprimorada no npm. Além de compartilhar investimentos adicionais feitos no processo de verificação de contas e pacotes. As melhorias para o npm disponíveis a partir de agora incluem:

  • Uma experiência simplificada de login e publicação com o npm CLI;
  • A capacidade de conectar as contas do GitHub e Twitter ao npm.

Todos os pacotes no npm foram abandonados e foi adicionado um novo comando npm CLI para auditar a integridade dos pacotes.

GitHub Universe: evento anual para desenvolvedores já tem data marcada. Confira

GitHub e a autenticação dois fatores

A segurança da conta é significativamente melhorada com a adoção do 2FA, mas se a experiência acrescentar muitas dificuldades, não se pode esperar que os clientes a adotem. Recentemente o GitHub anunciou uma variedade de melhorias no registro npm para facilitar a adoção do 2FA pelos desenvolvedores – em uma versão beta pública.

As primeiras pessoas a adotar a nova experiência 2FA compartilharam o feedback sobre o processo de login e publicação com o npm CLI, e a plataforma reconheceu que havia espaço para melhorias. O projeto inicial foi criado para ser retrocompatível com o npm 6 e outros clientes; de fato, o projeto Yarn foi capaz de dar suporte à nova experiência ao Yarn 1 em menos de 10 linhas de código!

O GitHub tem trabalhado para tornar a experiência CLI melhor do que nunca com base neste feedback, e a experiência melhorada de login e publicação está agora disponível no npm 8.15.0. Com a nova experiência, os usuários serão beneficiados com:

  • O login e a autenticação de publicação são gerenciados no navegador;
  • O login pode usar uma sessão existente apenas solicitando seu segundo fator ou verificação por e-mail OTP para criar uma nova sessão.

A publicação agora suporta “Lembrar de mim por 5 minutos” e permite publicações subsequentes a partir do mesmo IP + token de acesso para evitar o prompt 2FA por um período de 5 minutos. Isto é especialmente útil quando se publica a partir de um espaço de trabalho npm.

Atualmente isso é um opt-in com o sinalizador --auth-type=web e será a experiência padrão no npm 9.

npm login --auth-type=web

npm publish --auth-type=web

Estas experiências melhoradas facilitarão aos usuários a segurança de suas contas. Uma conta segura é o começo de um ecossistema seguro. Confira a documentação para saber mais sobre o 2FA no npm.

Conectando as contas do GitHub e Twitter ao npm

Pessoas desenvolvedoras podem incluir suas contas do GitHub e Twitter em seus perfis npm praticamente desde que as contas npm estão disponíveis. Estes dados têm sido úteis para conectar a identidade de uma conta no npm a uma identidade em outras plataformas; entretanto, historicamente estes dados têm sido um campo de texto de formato livre que não foi validado ou verificado.

É por isso que o GitHub está lançando a capacidade de conectar uma conta npm às contas do GitHub e Twitter. A conexão destas contas é feita por meio de integrações oficiais tanto com o GitHub como com o Twitter e garante que os dados verificados da conta sejam incluídos nos perfis npm daqui para frente. Os dados anteriormente não verificados do GitHub ou Twitter não serão mais mostrados nos perfis de usuários públicos, tornando possível as pessoas desenvolvedoras auditar identidades e confiar que uma conta é de quem diz ser.

Ter uma conexão verificada entre as identidades através de plataformas melhora significativamente a capacidade de fazer a recuperação de contas. Estes novos dados verificados estabelecem a base para automatizar a verificação de identidade como parte da recuperação de conta. Com o tempo, a plataforma irá depreciar esses dados antigos, mas continuará a honrá-los por enquanto para garantir que os clientes não fiquem bloqueados fora de suas contas.

Verificando pacotes localmente com “assinaturas de auditoria npm”

Até hoje, os usuários do npm tinham que contar com um processo de várias etapas para validar a assinatura de pacotes do npm. Este processo baseado no PGP (Pretty Good Privacy, programa de criptografia que fornece privacidade criptográfica e autenticação para a comunicação de dados) era complexo e exigia que os usuários tivessem conhecimento de ferramentas criptográficas que proporcionavam uma experiência ruim para a pessoa desenvolvedora. Pessoas desenvolvedoras que dependem deste processo existente devem logo começar a usar o novo comando “audit signatures”. As chaves PGP devem expirar no início do próximo ano com mais detalhes a seguir.

Recentemente, o GitHub começou a trabalhar para reassinar todos os pacotes npm com novas assinaturas contando com o algoritmo seguro ECDSA (Elliptic Curve Digital Signature Algorithm) e usando um HSM (Hardware security module) para gerenciamento de chaves, e agora é possível contar com essa assinatura para verificar a integridade dos pacotes instalados a partir do npm.

O exemplo abaixo mostra o fluxo de trabalho do GitHub Actions com a “assinatura de auditoria” em ação.

name: npm Package

on:

  release:

    types: [created]

jobs:

  build:

    runs-on: ubuntu-latest

    steps:

      - uses: actions/[email protected]

      - uses: actions/[email protected]

        with:

          node-version: 16.x

          registry-url: 'https://registry.npmjs.org'

      - run: npm install -g npm 

      - run: npm ci

      - run: npm audit signatures

      - run: npm test

      - run: npm publish

        env:

          NODE_AUTH_TOKEN: ${{secrets.npm_token}}

O que vem a seguir?

O principal objetivo do GitHub continua sendo proteger o registro do npm, e o próximo grande marco será reforçar o 2FA para todas as contas de alto impacto, aquelas que gerenciam pacotes com mais de 1 milhão de downloads semanais ou 500 dependentes, triplicando o número de contas que terão que adotar um segundo fator.

Antes desta aplicação, a plataforma vai promover ainda mais melhorias no processo de recuperação de contas, incluindo a introdução de formas adicionais de verificação de identidade e automatizando o máximo possível do processo.


Usa TELEGRAM?!

Venha participar do nosso Grupo Exclusivo de Ofertas e Descontos do Programadores Brasil. Aqui você encontra os melhores preços para Notebooks, Celulares, Tablets, Headsets e eletrônicos em geral! Acesse: https://t.me/progbrasilcupons https://t.me/progbrasilcupons


Sobre o Autor(a)
Jornalista, sonhadora e apaixonada por contar história de pessoas para pessoas. Além de ser extremamente curiosa, meu entretenimento é adquirir conhecimento. Atualmente sou graduada em jornalismo com inglês avançado e muitos sonhos, além de atuar, em tempo integral, em um plano infalível de me aperfeiçoar e crescer cada vez mais :)

Deixe o seu comentário

O seu endereço de e-mail não será publicado.

Leia Também

Últimas Notícias