使用流行的“NPM”JavaScript 包管理器的開發者們，現可選擇使用鏈接他們的Twitter 和GitHub 賬戶。在周二的一篇博客文章中，GitHub 表示此舉旨在幫助用戶更輕鬆地保護其賬戶，同時簡化了一些被認為過於繁重的安全特性。

顯然，平台希望此舉能夠結合增強的安全性、以及NPM 包管理器的可用性。GitHub 產品經理Myles Borins 和Monish Mohan 寫道：

JavaScript 社區每天通過npm 下載超過50 億個包，於是GitHub 也認識到了開發者對此擁有的極高信心。作為npm 註冊表的管理者，GitHub 致力於持續投資並改進，以增加開發人員的信任、以及產品本身的總體安全性。

除了能夠鏈接Twitter 和GitHub 賬戶作為身份驗證方法，GitHub 還宣布使用雙因素身份驗證（2FA）來簡化NPM 登錄和包發布。

博客文章指出，早前NPM 已公測過增強型的2FA 登錄，並在聽取了社區反饋後，決定對某些功能加以調整，以使之對用戶更加友好。

比如添加了“記住狀態5 分鐘”選項，以便在較短的時間內禁用2FA 提示。

Borins 和Mohan 補充道：

採用2FA 可顯著提升帳戶安全性，但若體驗過程增加了太多摩擦，我們也不能埋怨客戶不積極採用。

好消息是，基於早期採用者的反饋，我們意識到2FA 新體驗—— 比如使用npm CLI 登錄和發布的過程—— 仍有較大的改進空間。

最新動向是，GitHub 在7 月26 日發布的NPM 8.15.0 版本中引入了改進後的安全特性。

據悉，作為JavaScript 編程語言開源軟件生態系統的核心部分，NPM 多年來一直是許多惡意行為者的目標。

攻擊者的主要策略之一，就是通過購買向軟件包發布者註冊的過期域、並使用這些域來設置可用於接收軟件包密碼重置電子郵件的帳戶，從而獲得軟件包的控制權。

有鑑於此，在登錄NPM 賬戶時強制啟用2FA，將可極大地提升相關體驗的安全性。

最後，掌管NPM 的GitHub 也在努力提升各大代碼託管平台的安全性。

今年早些時候，該公司宣布所有貢獻代碼的用戶，都需要在2023 年底前，啟用某種形式的雙因素驗證。