ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Компания NPM Inc, контролирующая разработку пакетного менеджера NPM и занимающаяся поддержанием репозитория NPM, объявила о продаже бизнеса компании GitHub Inc, принадлежащей Microsoft и функционирующей в качестве независимого бизнес-подразделения. Сумма сделки не называется.

Утверждается, что смена владельца не повлияет на репозиторий NPM, который продолжит своё существование и останется общедоступным и бесплатным для разработчиков открытого ПО. Разработка пакетного менеджера NPM продолжится с привлечением дополнительных ресурсов, что может стать стимулом для его более активного развития. GitHub намерен активно взаимодействовать с сообществом разработчиков на языке JavaScript для сбора идей и определения будущего NPM.

B качестве основных векторов развития упоминаются повышение надёжности, масштабируемости и производительности репозитория и инфраструктуры, а также повышение удобства повседневной работы разработчиков и сопровождающих с пакетным менеджером. Из ожидаемых в npm 7 значительных новшеств называются рабочие области (Workspaces - позволяют агрегировать в один пакет зависимости из нескольких пакетов для их установки за один шаг), улучшение процесса публикации пакетов и расширение поддержки мультифакторной аутентификации.

Для повышения безопасности процессов публикации и доставки пакетов планируется произвести интеграцию NPM в инфраструктуру GitHub. Интеграция также позволит использовать интерфейс GitHub для подготовки и размещения NPM-пакетов - изменения в пакетах можно будет отслеживать в GitHub от поступления pull-запроса до публикации новой версии npm-пакета. Предоставляемые в GitHub средства выявления уязвимостей и информирования об уязвимостях в репозиториях будут применимы и для NPM-пакетов. Для финансирования работы сопровождающих и авторов NPM-пакетов будет доступен сервис GitHub Sponsors.

Айзек Шлютер (Isaac Z. Schlueter), создатель NPM, продолжит работать над проектом и ему будут предоставлены дополнительные ресурсы и более спокойная обстановка для работы. Основатель NPM считает, что в составе GitHub NPM получит дополнительную поддержку от одной из самых крупных мировых компаний, стоящей за крупнейшим сообществом разработчиков. В настоящее время репозиторий NPM обслуживает более 1.3 млн пакетов, которыми пользуются около 12 млн разработчиков. В месяц фиксируется около 75 миллиардов загрузок, и этот показатель неуклонно растёт.

Напомним, что в прошлом году компания NPM Inc пережила смену руководства, череду увольнений сотрудников и поиск инвесторов. Из-за сложившейся неопределённости в отношении дальнейшем судьбы NPM и неверия в то, что компания будет отстаивать интересы сообщества, а не инвесторов, группа сотрудников во главе с бывшим техдиректором NPM основала репозиторий пакетов Entropic. Новый проект призван был устранить зависимость экосистемы JavaScript/Node.js от одной компании, полностью контролирующей разработку пакетного менеджера и поддержание репозитория. По мнению основателей Entropic, у сообщества нет рычагов для привлечения NPM Inc к ответственности за совершаемые действия, а ориентация на получение прибыли мешает реализации первичных с точки зрения сообщества, но не приносящих денег и требующих дополнительных ресурсов, возможностей, таких как поддержка верификации по цифровой подписи.