npm 6 ist da & ein Ausblick auf npm 7

npm 6 ist da: Mehr Sicherheit für Open-Source-Code
Keine Kommentare

npm 6 ist da und bringt vor allem neue Sicherheitsmechanismen für die Arbeit mit Open-Source-Code mit. Die neue Version soll allerdings auch ganz schön schnell sein! Außerdem gibt das Team hinter npm einen Ausblick auf die weiteren Pläne für das npm CLI in npm 7 und darüber hinaus.

npm 6 ist da und bildet ab, was seine Nutzer sich laut kürzlich durchgeführtem Survey wünschen. npm fragte die JavaScript-Community gemeinsam mit der Node.js Foundation und der JS Foundation nämlich unter anderem, ob sie in ihren Projekten Open-Source-Code einsetzen. Das Ergebnis war eindeutig: 97 Prozent der Teilnehmer des Surveys arbeiten mit Open Source. Dass das nicht ganz unproblematisch ist, zeigten die Survey-Ergebnisse aber auch: 77 Prozent der Survey-Teilnehmer sorgen sich darum, ob der Open-Source-Code sicher ist. 87 Prozent machen sich allerdings auch Sorgen um die Sicherheit des Codes, den sie selbst geschrieben haben. Um diesen Ängsten zu begegnen, hat das npm-Team dieses Thema nun aufgriffen und wird mit npm 6 nach und nach einige Neuerungen in Sachen Sicherheit ausliefern.

npm 6: Mehr Sicherheit mit Open Source

Zu den in den Release Notes zu npm 6 angekündigten Neuerungen für mehr Sicherheit im Code gehört, dass künftig Warnungen ausgegeben werden sollen, wenn Code mit bekannten Sicherheitslücken verwendet wird. Dazu werden Installationsaufforderungen mit der Datenbank der Node Security Plattform abgeglichen. Mit dem neuen Befehl npm audit wird außerdem eine Prüfung des Dependency Trees eines Projekts auf unsicheren Code vorgenommen. Beide Features werden in den kommenden Wochen an alle Nutzer von npm ausgerollt, stehen derzeit aber nur im npm Beta Registry zur Verfügung.

Neu in npm 6 sind außerdem die finale Integration von npm ci für einen schnelleren Continuous Integration Workflow und eine Änderung für Webhooks. Webhooks sind auf npm bereits seit knapp zwei Jahren verfügbar, wie der Blogpost zum Release von npm 6 berichtet. Nun können die Echtzeit-Notifications für Änderungen am Registry und Packages unmittelbar über das npm CLI konfiguriert werden. Außerdem wurde an der Performance gearbeitet. npm 6 soll bis zu 17 mal schneller sein als npm 4. Einen Überblick über weitere Änderungen an npm 6 gibt der Blogpost zum Release. npm 6 ist jetzt unter npm i -g npm@latest verfügbar.

Jenseits von npm 6

Und wie geht es weiter mit npm? Für npm 6 sind noch ein paar weitere neue Features geplant, die mit Minor Releases ausgeliefert werden sollen, wie im offiziellen npm-Blog nachzulesen ist. Zu den für npm 6 noch vorgesehenen Features gehört beispielsweise, dass Latenzzeiten bei der Ausführung von npm ci weiter reduziert werden sollen.

Auch interessant: Continuous Integration mit npm: npm ci verfügbar

Auch zu npm 7 finden sich bereits einige Informationen im gleichen Blogpost: Für die nächste Major-Version soll unter anderem am Login gearbeitet werden. Derzeit entsprechen npm login und npm adduser einander, eigentlich handelt es sich also um den gleichen Befehl. Künftig sollen sie getrennt werden. Dabei handelt es sich um einen Breaking Change – auch weitere Breaking Changes sind vorgesehen. Im Allgemeinen sollen diese laut npm-Blog aber nicht zu Problemen führen.

npm 7 soll bereits im Spätsommer oder Herbst dieses Jahres erscheinen. Einen Überblick über die wichtigsten geplanten Änderungen an npm, auch jenseits von Version 7, gibt @RE-BECCA-ORG im npm-Blog.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -