谷歌今日宣布开源npm安全发布工具——Wombat Dressing Room，旨在降低与 npm 发布自动化相关的安全风险。

Google 的开发工程师 Benjamin Coe 在上周五（1月10日）的公告中说：

在我的团队中，少数开发人员管理着超过 75 个 Node.js 库，自动化是达成这一目标的关键。

npm（节点软件包管理器）是 Node.js 开发人员使用的开源软件包存储库和命令行界面，用于快速发布和分发代码和软件包更新。

npm 提供了双因子身份验证 (2FA) 以保护开发人员控制台和发行版之间的通道，防止攻击者劫持软件包。但是，开发人员常常会在便利性和安全性之间进行权衡。

很难将通过手机输入密码的步骤自动化。结果，人们经常选择关闭 2FA。

Coe 表示，这就是 Google 开发 Wombat Dressing Room 的原因，Google Cloud Client Libraries 团队用它来管理代码发布，同时代表用户实施 2FA。

有了 Wombat Dressing Room，不再需要个人在身份验证器应用程序中配置双因子身份验证，而是由共享代理服务器管理来 2FA。

Wombat更衣室可在Google App Engine上运行，并且在Apache 2.0许可下在 GitHub上开源 (https://github.com/GoogleCloudPlatform/wombat-dressing-room)。

发行令牌由 GitHub 上的单个存储库生成并绑定。因此，即使某个程序包的发布令牌被破坏，也只能劫持一个程序包。

Wombat Dressing Room 将有助于 npm 社区中的每个人简化和自动化他们的发布过程，同时最大程度地减少代码库的攻击面。