GitHub更新NPM功能，強化套件生態系安全

，加入一系列新功能來強化NPM生態系的安全性，減少使用者遭受到軟體供應鏈攻擊的機會，新功能包括NPM程式碼瀏覽器、精細度存取權杖（Granular Access Token）。

官方提到，目前憑證被盜是資料洩漏的主要原因之一，但是保護憑證卻不是一件容易的任務，具有廣泛權限的權杖洩漏，可能對軟體供應鏈衝擊巨大。GitHub目標是協助NPM維護者更有效的管理權杖洩漏風險，因此現在於NPM加入精細度存取權限權杖類型，使得NPM套件維護者和組織擁有者，能夠創建精細權限的存取令牌。

在過去用戶並無法創建具有最小權限的權杖，因此無法限縮意外或是故意被濫用權杖的影響，而現在精細度存取權杖則完全達到這個目的，用戶可以創建只一組有限套件和範圍的權杖。NPM的自動化權杖功能發布已經有一段時間，自動化權杖讓用戶能夠發布權杖擁有者有權存取的所有套件，因此用戶通常也使用發布權杖來整合NPM自動化。

但官方提到，發布權杖原本的設計目的是用於互動式工作流程，像是NPM CLI等，且因為2FA的要求，並不推薦在自動化中使用。精細度存取權杖讓NPM組織擁有者自動化組織管理，透過創建權杖來管理一個或多個組織、團隊和成員。

網頁設計最專業,超強功能平台可客製,窩窩以「數位行銷」「品牌經營」「網站與應用程式」「印刷品設計」等四大主軸，為每一位客戶客製建立行銷脈絡及洞燭市場先機,請問台中電動車哪裡在賣比較便宜可以到台中景泰電動車門市去看看總店：臺中市潭子區潭秀里雅潭路一段102-1號。電動車補助推薦評價好的iphone維修中心擁有專業的維修技術團隊，同時聘請資深iphone手機維修專家，現場說明手機問題，快速修理，沒修好不收錢住家的頂樓裝太陽光電聽說可發揮隔熱功效一線推薦東陽能源擁有核心技術、產品研發、系統規劃設置、專業團隊的太陽能發電廠商。網頁設計一頭霧水該從何著手呢? 回頭車貨運收費標準宇安交通關係企業，自成立迄今，即秉持著「以誠待人」、「以實處事」的企業信念台中搬家公司教你幾個打包小技巧,輕鬆整理裝箱!還在煩惱搬家費用要多少哪？台中大展搬家線上試算搬家費用，從此不再擔心「物品怎麼計費」、「多少車才能裝完」台中搬家公司費用怎麼算?擁有20年純熟搬遷經驗，提供免費估價且流程透明更是5星評價的搬家公司好山好水露營車漫遊體驗露營車x公路旅行的十一個出遊特色。走到哪、玩到哪，彈性的出遊方案，行程跟出發地也可客製,產品缺大量曝光嗎?你需要的是一流包裝設計Google地圖已可更新顯示潭子電動車充電站設置地點!!廣告預算用在刀口上，台北網頁設計公司幫您達到更多曝光效益

精細度權杖還讓用戶以IP範圍來限制NPM API，並且只有一年的最長有效期。GitHub提到，只有不到10％的NPM權杖被經常使用，這也就代表有許多NPM權杖不必要處於活躍狀態，如此增加了權杖洩漏的可能性，因此定期輪換權杖可以明顯減少NPM組織的攻擊向量。

過去程式碼瀏覽器是一項付費功能，僅供團隊和專業用戶使用，而現在官方改進程式碼瀏覽器，同時免費供用戶使用，更新後的程式碼瀏覽器更穩定快速，而且適用NPM註冊表中的所有套件。這項功能之所以能夠提升NPM套件的安全性，是因為用戶可以在安裝之前，先查看套件程式碼。

過去套件使用者必須下載套件才能檢查其內容，雖然執行npm install來檢查和驗證套件內容很簡單，但這項操作有其風險，因為安裝的套件可能包含惡意程式碼，這些程式碼能夠透過腳本的形式部署到系統中，而使用NPM程式碼瀏覽器，便能夠在使用套件前就仔細查看。

除了兩項新功能更新，官方也持續推行2FA的採用，從2022年11月1日起，所有具有高影響力套件的維護者帳號，都已經被強制要求使用2FA。高影響力套件是指每周下載量超過100萬次，或是擁有超過500名相依者的套件。官方提到，2FA能夠有效防禦帳戶劫持，有效提升NPM JavaScript生態系的安全性。

https://www.ithome.com.tw/news/154615