От няколко месеца бяхме коментирали различни публикации какво правим с pпроблеми със сигурността които са възникнали в GitHub и за мерките, които са планирали да интегрират в платформата, за да могат да противодействат в по-голяма степен на пропуските в сигурността, от които хакерите се възползваха за достъп до хранилища на проекти.
И сега понастоящем, GitHub разкри, че ще изисква че всички потребители, които допринасят с код към платформата активирате една или повече форми на двуфакторна автентификация (2FA).
„GitHub е в уникална позиция тук, просто защото по-голямата част от общностите с отворен код и създателите живеят в GitHub.com, ние можем да окажем значително положително въздействие върху сигурността на глобалната екосистема, като вдигнем летвата за хигиена на информацията. сигурност ”, каза Майк Ханли, главен директор по сигурността (CSO) на GitHub. „Вярваме, че това наистина е едно от най-добрите ползи за цялата екосистема, които можем да предложим, и се ангажираме да гарантираме, че всички предизвикателства или пречки ще бъдат преодолени, за да гарантираме успешното приемане. »
GitHub обяви, че всички потребители, качващи код на сайта, ще трябва да активират една или повече форми на двупосочна двуфакторна автентификация (2FA) до края на 2023 г., за да продължат да използват платформата.
Новата политика беше обявена в публикация в блог от главен директор по сигурността на GitHub (CSO) Майк Ханли, който подчерта ролята на собствената платформа на Microsoft в защитата на целостта на процеса на разработка на софтуер от заплахи, създадени от злонамерени участници, които поемат контрола. на акаунти на разработчици.
Разбира се, потребителското изживяване на разработчика също се взема предвид и Майк Ханли подчертава, че това изискване няма да ви навреди:
„GitHub се ангажира да гарантира, че силната сигурност на акаунта не идва за сметка на страхотното изживяване на разработчиците и нашата цел до края на 2023 г. ни дава възможност да оптимизираме за това. Тъй като стандартите се развиват, ние ще продължим активно да изследваме нови начини за сигурно удостоверяване на потребителите, включително удостоверяване без парола. Разработчиците от цял свят могат да очакват повече опции за удостоверяване и възстановяване на акаунта, както и
Въпреки че многофакторната автентификация предлага допълнителна защита важно за онлайн акаунти, Вътрешното проучване на GitHub показва, че само 16,5% от активните потребители (около един на всеки шест) понастоящем позволяват засилени мерки за сигурност за техните акаунти, изненадващо нисък брой, като се има предвид, че платформата от потребителска база трябва да е наясно с рисковете от защита само с парола.
Чрез насочване на тези потребители към по-висок минимален стандарт защита на акаунта, GitHub се надява да засили цялостната сигурност на общността за разработка на софтуер като цяло.
„През ноември 2021 г. GitHub се ангажира с нови инвестиции в сигурността на npm акаунти след придобиването на npm пакети в резултат на компрометирането на акаунти на разработчици без активирана 2FA. Ние продължаваме да подобряваме сигурността на акаунта на npm и също така се ангажираме да защитаваме акаунти на разработчици чрез GitHub.
„Повечето нарушения на сигурността не са продукт на екзотични атаки с нулев ден, а вместо това включват атаки с ниска цена като социално инженерство, кражба на идентификационни данни или течове и други начини, които дават на нападателите широк спектър от достъп до акаунти на жертви и ресурси те използват. имат достъп до. Компрометираните акаунти могат да се използват за кражба на частен код или за извършване на злонамерени промени в този код. Това разкрива не само хората и организациите, свързани с компрометираните акаунти, но и всички потребители на засегнатия код. В резултат на това потенциалът за въздействие надолу по веригата върху по-широката софтуерна екосистема и верига за доставки е значителен.
Вече е направен експеримент с част от подмножество потребители на платформата GitHub вече създаде прецедент за изискване на използването на 2FA с по-малко подмножество на потребителите на платформата, след като го тества с сътрудници на популярни JavaScript библиотеки, разпространявани със софтуер за управление на пакети npm.
Тъй като широко използваните npm пакети могат да се изтеглят милиони пъти седмично, те са много привлекателна цел за операторите на зловреден софтуер. В някои случаи хакери компрометираха акаунтите на сътрудниците на npm и ги използваха, за да пуснат софтуерни актуализации, които бяха инсталирани от крадци на пароли и крипто копачи.
В отговор GitHub направи двуфакторната автентификация задължителна за поддържащите най-добрите 100 npm пакета от февруари 2022 г. Компанията планира да разшири същите изисквания към сътрудниците на топ 500 пакета до края на май.
В общи линии, това означава задаване на дълъг срок, за да направи използването на 2FA задължително в целия сайт и проектирайте различни потоци за въвеждане, за да насочите потребителите към приемане много преди крайния срок до 2024 г., каза Ханли.
Осигуряването на софтуер с отворен код остава неотложна грижа за софтуерната индустрия, особено след миналогодишната уязвимост на log4j. Но докато новата политика на GitHub ще смекчи някои заплахи, системните предизвикателства остават: много софтуерни проекти с отворен код все още се поддържат от неплатени доброволци и преодоляването на недостига на финансиране се разглежда като основен проблем за технологичната индустрия като цяло.
Накрая ако се интересувате да научите повече за това, можете да проверите подробностите В следващия линк.