#2fa

npm に staged publishing が追加され、公開前に人間による 2FA承認 が必要になった これにより、CI/CD からの自動公開でも「本当に人が関与したか」を確認しやすくなる `npm stage publish` は npm CLI 11.15.0 以降 が必要 既存の `-allow-git` に加えて、非 registry 由来の install 元を制御する3つのフラグが追加された いまソフトウェアサプライチェーン攻撃が増えているので、こうした防御はかなり重要 npm と GitHub が、ソフトウェア供給網のセキュリティを強化する新しい仕組みを出しました。 ざっくり言うと、「npm パッケージを公開するときに、勝手に世に出ていかないようにする」ための対策です。 これ、地味に見えてかなり重要です。というのも、近年の攻撃者は「アプリ本体」よりも、開発者が日常的に使うライブラリやパッケージ管理の流れを狙うことが増えているからです。つまり、1つの悪意ある更新が入るだけで、多くの開発現場に一気に広がってしまうわけです。い