## Feature Request: API endpoint to read per-package Publishing Access policy

[sarinajakhu]

Discussion Type

Product Feedback

Discussion Content

Feature Request: API endpoint to read per-package Publishing Access policy

Summary

Please add a supported read-only API endpoint that exposes the per-package "Publishing access" policy, specifically the "Require two-factor authentication and disallow tokens (recommended)" setting.

Use case

We are a part of the Security team running monthly ISO 27001 compliance spot checks. As part of this process we need to verify that all packages under our organisation have the recommended publishing access setting enabled.

We manage a mix of private internal packages and a public mobile SDK under our npm organisation, totalling 6 packages checked monthly.

We have already automated our package inventory check via the npm API. The only remaining manual step is visiting each package's settings page in the UI to verify the publishing access setting. With 6 packages checked monthly, this is a manageable but time-consuming manual process that is difficult to evidence for auditors.

What we need

Either:

• A package-level read API endpoint that returns the publishing access policy for a given package, or
• An organisation-level export endpoint that returns the publishing access policy for all packages under an organisation in a single call

A read-only token scope would be sufficient — we do not need to modify the setting via API.

Why this matters

This is blocking full automation of our ISO 27001 MFA compliance checks. An API endpoint for this setting would allow security teams to:

• Automate monthly compliance evidence collection
• Detect regressions immediately if a setting is accidentally changed
• Reduce manual effort across multiple packages

We confirmed with npm Support (ticket reference available on request) that no supported endpoint currently exists for this setting.

Suggested endpoint

GET /-/npm/v1/package/{package}/access

Could be extended to include a publish_requires_2fa boolean field in the response.

Or an org-level equivalent:

GET /-/org/{org}/package-access-policies

Returning a list of all packages and their publishing access settings.

[github-actions[bot]]

💬 Your Product Feedback Has Been Submitted 🎉

Thank you for taking the time to share your insights with us! Your feedback is invaluable as we build a better GitHub experience for all our users.

Here's what you can expect moving forward ⏩

• Your input will be carefully reviewed and cataloged by members of our product teams. 
  • Due to the high volume of submissions, we may not always be able to provide individual responses.
  • Rest assured, your feedback will help chart our course for product improvements.
• Other users may engage with your post, sharing their own perspectives or experiences. 
• GitHub staff may reach out for further clarification or insight. 
  • We may 'Answer' your discussion if there is a current solution, workaround, or roadmap/changelog post related to the feedback.

Where to look to see what's shipping 👀

• Read the Changelog for real-time updates on the latest GitHub features, enhancements, and calls for feedback.
• Explore our Product Roadmap, which details upcoming major releases and initiatives.

What you can do in the meantime 💻

• Upvote and comment on other user feedback Discussions that resonate with you.
• Add more information at any point! Useful details include: use cases, relevant labels, desired outcomes, and any accompanying screenshots.

As a member of the GitHub community, your participation is essential. While we can't promise that every suggestion will be implemented, we want to emphasize that your feedback is instrumental in guiding our decisions and priorities.

Thank you once again for your contribution to making GitHub even better! We're grateful for your ongoing support and collaboration in shaping the future of our platform. ⭐

[mecodeatlas]

Thanks for posting in the GitHub Community, @sarinajakhu!

We're happy you're here. You are more likely to get a useful response if you are posting your question in the applicable category, the Discussions category is solely related to conversations around the GitHub product Discussions. This question should be in the Packages category. I've gone ahead and moved it for you. Good luck!

[Kyaa-A]

This would close a real audit gap. We hit the same friction running internal compliance checks across an npm org.

One extension worth considering: the response could also include publish_requires_2fa_enforced_at (timestamp) and last_modified_by so security teams can evidence when the policy was set and detect unauthorized regressions, not just current state. That turns a point-in-time check into an audit trail.

An org-level batch endpoint would also align nicely with existing patterns like GET /-/org/{org}/user, keeping the API surface consistent.

Would happily test against a beta endpoint if scoped behind a read:packages token.

[teesodza7244]

ประเภทการสนทนา

ข้อเสนอแนะเกี่ยวกับผลิตภัณฑ์

เนื้อหาการสนทนา

คำขอเพิ่มฟีเจอร์: จุดเชื่อมต่อ API สำหรับอ่านนโยบายการเข้าถึงการเผยแพร่ต่อแพ็กเกจ

สรุป

โปรดเพิ่มเอนด์พอยต์ API แบบอ่านอย่างเดียวที่รองรับ ซึ่งจะแสดงนโยบาย "การเข้าถึงการเผยแพร่" ต่อแพ็กเกจ โดยเฉพาะการตั้งค่า "ต้องใช้การตรวจสอบสิทธิ์แบบสองปัจจัยและไม่อนุญาตให้ใช้โทเค็น (แนะนำ)"

กรณีศึกษา

เราเป็นส่วนหนึ่งของทีมรักษาความปลอดภัยที่ทำการตรวจสอบการปฏิบัติตามมาตรฐาน ISO 27001 เป็นประจำทุกเดือน ในขั้นตอนการตรวจสอบนี้ เราจำเป็นต้องตรวจสอบว่าแพ็กเกจทั้งหมดในองค์กรของเรามีการตั้งค่าการเข้าถึงการเผยแพร่ตามที่แนะนำไว้แล้ว

เราจัดการแพ็กเกจภายในองค์กรแบบส่วนตัวและ SDK สำหรับมือถือแบบสาธารณะภายใต้องค์กร npm ของเรา โดยรวมแล้วมี 6 แพ็กเกจที่ตรวจสอบทุกเดือน

เราได้ทำการตรวจสอบสินค้าคงคลังของแพ็กเกจโดยอัตโนมัติผ่าน API ของ npm แล้ว ขั้นตอนที่ต้องทำด้วยตนเองที่เหลืออยู่เพียงอย่างเดียวคือการเข้าไปที่หน้าการตั้งค่าของแต่ละแพ็กเกจใน UI เพื่อตรวจสอบการตั้งค่าการเข้าถึงการเผยแพร่ ด้วยจำนวนแพ็กเกจที่ตรวจสอบทุกเดือน 6 ​​แพ็กเกจ กระบวนการนี้จึงสามารถจัดการได้ แต่ใช้เวลานานและยากที่จะแสดงหลักฐานให้ผู้ตรวจสอบเห็น

สิ่งที่เราต้องการ

ทั้ง:

• จุดเชื่อมต่อ API สำหรับการอ่าน ข้อมูลระดับแพ็กเกจซึ่งจะส่งคืนนโยบายการเข้าถึงการเผยแพร่สำหรับแพ็กเกจที่กำหนด หรือ
• จุด ส่งออกข้อมูลระดับองค์กรที่ส่งคืนนโยบายการเข้าถึงการเผยแพร่สำหรับแพ็กเกจทั้งหมดภายใต้องค์กรนั้นในการเรียกใช้เพียงครั้งเดียว

ขอบเขตโทเค็นแบบอ่านอย่างเดียวก็เพียงพอแล้ว — เราไม่จำเป็นต้องแก้ไขการตั้งค่าผ่าน API

เหตุใดเรื่องนี้จึงสำคัญ

สิ่งนี้ขัดขวางการทำงานอัตโนมัติอย่างเต็มรูปแบบของการตรวจสอบการปฏิบัติตามมาตรฐาน ISO 27001 MFA ของเรา การเพิ่ม API endpoint สำหรับการตั้งค่านี้จะช่วยให้ทีมรักษาความปลอดภัยสามารถดำเนินการดังต่อไปนี้:

• ทำการรวบรวมหลักฐานการปฏิบัติตามข้อกำหนดรายเดือนโดยอัตโนมัติ
• ตรวจจับข้อผิดพลาดได้ทันทีหากมีการเปลี่ยนแปลงการตั้งค่าโดยไม่ได้ตั้งใจ
• ลดภาระงานด้วยตนเองในการจัดการแพ็กเกจหลายรายการ

เราได้ยืนยันกับฝ่ายสนับสนุนของ npm แล้ว (สามารถขอหมายเลขอ้างอิงตั๋วได้) ว่าขณะนี้ยังไม่มีเอนด์พอยต์ใดที่รองรับการตั้งค่านี้

จุดสิ้นสุดที่แนะนำ

GET /-/npm/v1/package/{package}/access
#19
#195755 
สามารถขยายเพิ่มเติมโดยการเพิ่ม`publish_requires_2fa`ฟิลด์ประเภทบูลีนในคำตอบได้

 

##หรือเทียบเท่าในระดับองค์กร:

GET /-/org/{org}/package-access-policies

ส่งคืนรายการแพ็กเกจทั้งหมดและการตั้งค่าการเข้าถึงการเผยแพร่ของแพ็กเกจเหล่านั้น
#195758
[!NOTE]