Redpoint推出了pkgsign，一个NPM的软件包签名和验证工具。它旨在确保上传至NPM注册表和从NPM注册表下载的包的真实性，从而提高安全性。

当你用NPM工作时，会出现一个潜在的安全问题，那就是包的作者无法验证。这意味着恶意软件包可以以合法软件的名义得以上传，反过来，任何依赖它的应用程序也可以照常执行这个软件包。

最近发生的一起事件证明了这点。当几个包从NPM注册表意外消失时，九个不知名的包被上传，取而代之。虽然这个问题现在已经解决了，但还是有一段空档期，在这期间，不可信的代码会被误用，就如同它们是合法的代码一样。

为了降低这种风险，Redpoint推出了pkgsign：

pkgsign是一个工具，它能为NPM和Yarn包添加签名并使用已知签名来验证这些包。为了简化操作，pkgsign还允许使用PGP私钥或keybase.io来签名包。

在安装Keybase和pkgsign之后，包作者可以导航到其软件包目录，并发出如下的命令来签署软件包：

在这个过程中，一个“signature.json”文件将被添加到包中，其他用户可以用这个文件来验证作者的真实性。

通过使用Keybase，签名还可以连接到各种社交媒体帐户，这有助于进一步验证签名者的身份。同时，PGP签名也是可用的，这意味着作为替代选择，大公司可以生成PGP密钥并将其上传到公共域。

要验证当前你正在处理的包的依赖包，你可以再次发出下面这条命令：

未来还将发布一个“代表签名”的功能。即使依赖项所有者本身未进行签名，这个功能也可以让软件包为其依赖包的内容签名。所以，它能够使包被完全签名。

需要指出的是，由于该工具仍然较新，所以有些软件包仍然没有用它进行签名：

目前pkgsign依赖于未签名的包（因为它还比较新！）。当你从GitHub或NPM安装pkgsign时，这些依赖包还不能得到验证。

如果pkgsign使用率增长，可能就会改变这一情况，但现在，建议你直接从GitHub克隆pkgsign项目，以确保你使用的是正确的版本。或者，你可以直接从NPM注册表中安装它，而不用签名。

查看英文原文：Redpoint Games Launch NPM Package Signing Tool