GitHub釋出NPM 2FA及安全驗證相關改良功能

繼5月的公告及預覽版後，GitHub為了實現2023年底全面實施雙因素驗證（2FA），本周公布多項相關的功能和使用經驗的改良。

為防止GitHub平臺上npm套件遭劫持並被有心人士改造成惡意版本，造成廣大的軟體用戶及企業受害，GitHub 2個月前宣布要求所有在GitHub.com上貢獻程式碼的使用者於2023年底啟用雙因素驗證（2 factor authentication，2FA），期間分階段擴大實施。

為了讓開發人員更方便使用2FA，GitHub最新公布的npm新功能，包括簡化以npm CLI登入和發布、連結GitHub和推特（Twitter）帳號到npm，以及重新簽發npm所有套件，並增加稽核套件完整性的新npm CLI指令。

首先，5月初GitHub以預覽版形式強化npm套件儲存庫的可使用性，早期測試者反應的問題主要在以npm CLI登入和發布方面。原來的設計可回溯相容到npm 6及其他用戶端，Yarn專案甚至加不到10行式程式碼，就能使新功能支援Yarn 1。而本周GitHub推出的npm 8.15.0版，更可讓開發人員在瀏覽器登入和發布驗證、而每次2FA驗證的token可在同一對話（session）中維持最高5分鐘，降低使用2FA的麻煩。

其次，過去npm帳號也可以連結其他平臺帳號，但這些資料並未經過驗證。透過新措施正式連結npm帳號到GitHub和推特，將可提供身分驗證自動化的基礎，有助於未來帳號被盜時的回復。

最後，在驗證套件方面，以前開發人員必須經過較多步驟來驗證npm套件的簽章，相當複雜且需要對PGP金鑰密碼學工具有一定了解。GitHub即將允許開發人員在npm CLI使用新的稽核簽章指令audit signatures，也計畫明年初淘汰PGP金鑰的驗證方式。新的audit signatures指令已經加入npm CLI 8.13.0以上的版本。

GitHub並宣布，最近已重新以ECDSA演算法重新簽發所有npm套件，並使用硬體加密器（Hardware Security Module，HSM）作為金鑰管理。