Die langjährige Zusammenarbeit zwischen npm (Node Package Manager) und ^Lift Security mündet in eine Übernahme. Das ^Lift-Team rund um Adam Baldwin wechselt komplett zu npm, Inc., dem Unternehmen hinter dem Paketmanager für JavaScript-Projekte. Mit der Node Security Platform (nsp) waren die Experten für Application Security und Penetration Testing bereits in der Vergangenheit für Sicherheits-Audits, Pentests und sicheren Programmcode bei npm zuständig. Baldwin übernimmt ab sofort die Leitung des Sicherheitsbereiches bei npm.

Die Macher hinter npm wollen die Akquisition nur als Auftakt zu einer umfassenderen Security-Initiative verstanden wissen. Für das nächste Release, das mit Node.js Version 10 ausgerollt wird, kündigt npm eine Reihe neuer Sicherheitsfunktionen an. Diese sollen direkt in die npmjs.com-Registry und das Command Line Tool integriert werden, sodass sie jedem npm-Anwender unmittelbar zur Verfügung stehen. Speziell für Unternehmenskunden soll es außerdem maßgeschneiderte Security-Produkte geben.

Zur letztjährigen Node.js-Interactive-Konferenz hatte npm bereits verschiedene neue Sicherheitsfunktionen vorgestellt, um auf konkrete Bedrohungen wie das sogenannte Typosquatting zu reagieren. Neben den dafür vorgesehenen Read-only-Tokens sowie Tokens für Authentifizierungszwecke hatte npm außerdem die Zwei-Faktor-Authentifizierung (2FA) zum Schutz von Profilen eingeführt. 2FA soll sukzessive auf weitere Bereiche wie die Paketverwaltung ausgedehnt werden. (map)