改进安全体验：NPM用户现可链接Twitter与GitHub账户

使用流行的“NPM”JavaScript 包管理器的开发者们，现可选择使用链接他们的 Twitter 和 GitHub 账户。在周二的一篇博客文章中，GitHub 表示此举旨在帮助用户更轻松地保护其账户，同时简化了一些被认为过于繁重的安全特性。

显然，平台希望此举能够结合增强的安全性、以及 NPM 包管理器的可用性。GitHub 产品经理 Myles Borins 和 Monish Mohan 写道：

JavaScript 社区每天通过 npm 下载超过 50 亿个包，于是 GitHub 也认识到了开发者对此拥有的极高信心。

作为 npm 注册表的管理者，GitHub 致力于持续投资并改进，以增加开发人员的信任、以及产品本身的总体安全性。

除了能够链接 Twitter 和 GitHub 账户作为身份验证方法，GitHub 还宣布使用双因素身份验证（2FA）来简化 NPM 登录和包发布。

博客文章指出，早前 NPM 已公测过增强型的 2FA 登录，并在听取了社区反馈后，决定对某些功能加以调整，以使之对用户更加友好。

比如添加了“记住状态 5 分钟”选项，以便在较短的时间内禁用 2FA 提示。

Borins 和 Mohan 补充道：

采用 2FA 可显着提升帐户安全性，但若体验过程增加了太多摩擦，我们也不能埋怨客户不积极采用。

好消息是，基于早期采用者的反馈，我们意识到 2FA 新体验 —— 比如使用 npm CLI 登录和发布的过程 —— 仍有较大的改进空间。

最新动向是，GitHub 在 7 月 26 日发布的 NPM 8.15.0 版本中引入了改进后的安全特性。

据悉，作为 JavaScript 编程语言开源软件生态系统的核心部分，NPM 多年来一直是许多恶意行为者的目标。

攻击者的主要策略之一，就是通过购买向软件包发布者注册的过期域、并使用这些域来设置可用于接收软件包密码重置电子邮件的帐户，从而获得软件包的控制权。

有鉴于此，在登录 NPM 账户时强制启用 2FA，将可极大地提升相关体验的安全性。

最后，掌管 NPM 的 GitHub 也在努力提升各大代码托管平台的安全性。

今年早些时候，该公司宣布所有贡献代码的用户，都需要在 2023 年底前，启用某种形式的双因素验证。