聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

刚刚，GitHub 在官网上宣布GitHub 已签署收购 npm 的协议。全文编译如下：

我很高兴地宣布，GitHub 已签署npm 收购协议。

npm 是 JavaScript 世界的重要组成部分。Npm团队在过去10年中所做的工作以及数十万开源开发人员和维护人员的贡献，使npm 的数据包数量超过130万而月下载量为750亿次。他们携手助力 JavaScript成为全球规模最大的开发者社区。很荣幸，GitHub能够携手推动 npm 迈进新时代，助力 npm 不断壮大，为快速发展的 JavaScript 社区服务。

对于每天都在使用npm 公共仓库 (pubic registry) 的数百万开发人员而言，npm 将永远都在且永不收费。收购完成后，我们将关注如下方面：

• 投资建设仓库基础设施和平台。JavaScript 生态系统庞大且还在快速壮大。它需要一个坚如磐石的仓库。我们将投入必要的资源，确保 npm 快速、可靠且可扩展。

• 改进核心体验。我们将致力于改进开发人员和维护人员的日常体验，并支持 npm v7 CLI 已经启动的伟大工作，而它仍将免费开源。我们将推出一些更强大的功能如 Workspaces并且将改进发布和多因素认证体验。

• 参与社区活动。我们将积极参与 JavaScript 社区活动，集思广益，助力定义 npm 的未来。

展望未来，我们将整合 GitHub 和 npm，提升开源软件供应链的安全性，使用户能够通过 npm 包版本在 GitHub 上的 pull 请求来追踪变更。开源安全是一个重要的全球性问题，我们近期推出了 GitHub Security Lab 和 GitHub 的内置安全公告，已做好改变这一现状的准备。另外，GitHub 的赞助商们已向开源贡献者们支付数百万美元，而我们将探索更好的方法将其延伸到 npm 生态系统。

我们将继续为使用 npm Pro、Teams 和 Enterprise 来托管私有仓库的付费客户提供支持。同时我们也将大力投入已全面集成 GitHub的、伟大的多语言数据包仓库—— GitHub Packages。今年晚些时候，我们将赋能 npm 的付费客户，将私有 npm 包迁移到 GitHub Packages，使得 npm 能够专注于成为 JavaScript 的伟大的公共仓库。

同时，诚挚邀请大家为 npm 的未来出谋划策。几天后我们将和一些团队成员举办 Reddit AMA活动。

每天，我们都能从npm 中感受到数百万 JavaScript 开发人员令人称赞的活力和创造性。非常荣幸，我们能够以一种新的方式提供支持。

Npm 和 JavaScript 生态系统，未来可期！

推荐阅读

GitHub 推出“安全实验室”和漏洞奖励计划，提升开源生态系统安全

我摸鱼写的Java片段意外称霸Stack Overflow十年、征服6000多GitHub开源项目: 有bug！

原文链接

https://github.blog/2020-03-16-npm-is-joining-github/

题图：Pixabay License

本文由奇安信代码卫士编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 点个“在看”，一起玩耍