GitHub telah mengumumkan ketersediaan umum dari tiga peningkatan signifikan pada npm (Node Package Manager), yang bertujuan untuk membuat penggunaan perangkat lunak lebih aman dan mudah dikelola.
Fitur-fitur baru ini mencakup pengalaman masuk dan penerbitan yang lebih ramping, kemampuan untuk menautkan akun Twitter dan GitHub ke npm, dan sistem verifikasi tanda tangan paket baru.
Pada saat yang sama, GitHub mengumumkan bahwa program otentikasi dua faktor yang diperkenalkan pada Mei 2022 siap untuk keluar dari versi beta dan tersedia untuk semua pengguna npm.
Platform npm adalah anak perusahaan dari GitHub dan merupakan pengelola paket dan repositori (registry) untuk pembuat kode JavaScript, yang digunakan oleh proyek pengembang untuk mengunduh lima miliar paket setiap hari.
Baru-baru ini mengalami insiden keamanan skala besar yang berdampak pada ratusan aplikasi dan situs web, memaksa GitHub untuk mengembangkan dan segera menerapkan rencana peningkatan keamanan.
Sistem masuk dan penerbitan npm yang baru memungkinkan autentikasi ditangani oleh browser web, sehingga token autentikasi yang valid dapat disimpan pada sesi yang sama hingga lima menit.
Perubahan ini untuk mengurangi gesekan yang diciptakan oleh pengenalan sistem 2FA, yang memaksa pengembang untuk memasukkan kata sandi satu kali baru pada setiap tindakan.
Opsi baru untuk menghubungkan akun GitHub dan Twitter ke npm bertujuan untuk membantu menambah kredibilitas dan berfungsi sebagai bentuk verifikasi identitas sehingga akun npm tidak dapat meniru pembuat perangkat lunak populer.
Selain itu, sistem baru ini akan membantu pemulihan akun bila diperlukan, membuat prosesnya lebih andal dan tidak rumit, serta meletakkan dasar untuk lebih banyak otomatisasi di masa mendatang.
Terakhir, ada sistem audit tanda tangan baru yang menggantikan proses PGP multi-langkah dan kompleks sebelumnya, yang memungkinkan pengembang metode yang lebih mudah untuk memverifikasi tanda tangan paket npm.
Pengguna sekarang dapat memvalidasi sumber paket secara lokal menggunakan perintah “npm audit signatures” baru di npm CLI.
Secara bersamaan, platform menandatangani ulang semua paket dengan algoritma ECDSA (eliptic curve cryptography) dan menggunakan HSM untuk manajemen kunci, yang semakin memperkuat keamanan.
Langkah selanjutnya dalam mengamankan registri npm adalah menerapkan otentikasi dua faktor pada semua akun yang mengelola paket dengan lebih dari satu juta unduhan mingguan atau 500 tanggungan.
GitHub mengatakan ini akan diberlakukan hanya setelah proses pemulihan akun ditingkatkan lebih lanjut dengan formulir verifikasi identitas tambahan, jadi tidak ada jadwal ketat yang diberikan selain itu yang akan datang berikutnya.
Sumber: Bleeping Computer
