Fotolia
JavaScript : GitHub veut renforcer son offre Packages en rachetant npm
GitHub a annoncé un accord pour racheter npm, le spécialiste de la gestion de paquets JavaScript. La société, propriété de Microsoft, veut renforcer l’architecture, l’expérience utilisateur et surtout ses offres pour les entreprises.
« Nous restons indépendants de Microsoft » indiquait récemment au MagIT Bassem Asseh, le vice-président régional des solutions entreprises chez GitHub. Le rachat de Node Package Manager semble en être la preuve.
S’il y a sûrement eu des discussions entre GitHub et son propriétaire, c’est bien le spécialiste du dépôt de code qui a dévoilé l’accord pour l’acquisition de npm pour un montant inconnu. Comme son nom l’indique, npm fournit un gestionnaire de paquets Node.js depuis 2014. Ces solutions open source sont particulièrement populaires. La plateforme de npm donne accès à 1,3 million de paquets pour 75 millions de téléchargements par mois, selon un post de blog écrit par Nat Friedman, le PDG de GitHub.
GitHub compte faire de npm un nouveau pilier de son empreinte dans l’écosystème open source. Nat Friedman explique que son entreprise veut développer la solution sur trois axes.
Le premier consiste à investir dans l’infrastructure de dépôt et la plateforme de npm. Ensuite, GitHub veut améliorer l’expérience des développeurs en supportant le développement de npm CLI qui « restera gratuit et open source ». Nat Friedman a notamment salué Workspaces, une initiative pour prendre en charge de la gestion multi paquet depuis un package racine. Celui-ci permet d’orchestrer les interdépendances entre les paquets. Enfin, GitHub veut s’attirer la sympathie de la communauté JavaScript afin de « définir le futur de npm ».
Faire passer npm à l’échelle industrielle
Cet avenir passe par une phase de sécurisation. En effet, le spécialiste de JavaScript avait subi plusieurs cyberattaques. En novembre 2018, des pirates s’en étaient pris à un package très populaire pour s’attaquer à un portefeuille de Bitcoin. « À l’avenir, nous intégrerons GitHub et npm pour améliorer la sécurité de la chaîne d’approvisionnement open source et vous permettre de suivre un changement depuis une demande d’extraction de GitHub jusqu’à la version du paquet npm qui l’a corrigé », prédit le PDG de GitHub. Il assure que les sponsors de GitHub ont investi des millions de dollars auprès des contributeurs Open Source, tandis qu’il compte sur le Security Lab pour identifier les potentielles failles au sein des produits de npm.
Le gestionnaire de paquets propose également des versions commerciales pour héberger des dépôts privés. GitHub assure qu’il continuera le support des clients Pro, Teams et Entreprise de npm.
L’entreprise poursuit les développements autour de GitHub Packages, sa propre solution de gestion de paquets multilangage (JavaScript, Ruby, Java, et .NET) disponible depuis mai 2019. À terme, elle proposera aux clients de npm de migrer les paquets privés sur sa propre solution. La filiale de Microsoft facture un forfait en fonction de l’espace de stockage contre une licence à l’utilisateur chez le spécialiste de JavaScript.
C’est justement quand GitHub a présenté cette offre qu’Isaac Schlueter, le fondateur de npm, aurait proposé de vendre son entreprise. Fondamentalement, le spécialiste du dépôt Git veut étendre ses solutions pour les entreprises et trouve là un gestionnaire de paquets pour le langage le plus populaire (devant python) chez les développeurs selon le rapport GitHub Octoverse 2019.
Pour approfondir sur Editeurs
-
![]()
Falcor vs GraphQL : les différences clés
Par: Chris Tozzi
-
![]()
2FA : GitHub déroule son plan sans éviter les concessions
Par: Beth Pariseau
-
![]()
Dépendances open source : Google veut automatiser les scans de vulnérabilités
Par: Gaétan Raoul
-
![]()
Phishing de PyPI : les experts appellent à rendre obligatoire la double authentification
Par: Beth Pariseau
