npm 新增 2FA 门控发布与包安装控制，防范供应链攻击

GitHub 为 npm 推出了新的安全控制措施，以提升软件供应链的安全性，使维护者能够在软件包公开发布可供安装之前，明确批准某个版本。
该功能称为 staged publishing（分阶段发布），现已正式在 npm 上可用。它要求人工维护者通过 2FA（双因素认证）挑战来批准一个软件包，然后才能将其推送至 npmjs[.]com。
GitHub 表示：“与直接发布（立即向用户提供新版本）不同，预构建的 tarball 会被上传到一个暂存队列，维护者必须在此明确批准后，该版本才变为可安装状态。”
这家微软旗下的子公司表示，这一变更确保了每次发布都有“在场证明”（proof of presence），包括来自非交互式 CI/CD 工作流以及使用 OIDC（OpenID Connect）认证的可信发布。
在使用 staged publishing 之前，软件包维护者必须满足以下条件：

• 拥有对该软件包的发布权限
• 该软件包已存在于 npm registry 中（即全新软件包无法暂存）
• 账户已启用 2FA
  开发者可在软件包根目录下使用命令 npm stage publish 将软件包提交到暂存区。要使用此命令，必须将 npm CLI 更新至 11.15.0 或更高版本。为获得最佳保护，GitHub 建议将 staged publishing 与使用 OIDC 的可信发布结合使用。
  第二项与 npm 相关的更新是引入了三个新的安装源标志，与现有的 --allow-git 标志配合使用：
• --allow-file：控制从本地文件路径和本地 tarball 的安装
• --allow-remote：控制从远程 URL（包括 https tarball）的安装
• --allow-directory：控制从本地目录的安装
  GitHub 表示，这些标志允许开发者“对每个非 registry 的安装源应用相同的显式白名单方法”。
  此次更新发布之际，过去几个月针对开源生态系统的软件供应链攻击急剧增加。一个名为 TeamPCP 的网络犯罪团伙正通过自我延续的入侵循环，以前所未有的规模投毒流行软件包。