এখন বেশ কয়েক মাস ধরে আমরা বিভিন্ন প্রকাশনা মন্তব্য ছিল আমরা পি সম্পর্কে কি করিনিরাপত্তা সমস্যা যেগুলি GitHub-এ উদ্ভূত হয়েছে এবং যে ব্যবস্থাগুলি তারা প্ল্যাটফর্মে একীভূত করার পরিকল্পনা করেছিল সেগুলি আরও বেশি পরিমাণে সুরক্ষা ফাঁকগুলিকে প্রতিহত করতে সক্ষম হবে যা হ্যাকাররা প্রকল্পের সংগ্রহস্থলগুলি অ্যাক্সেস করার সুযোগ নিয়েছিল।
এবং এখন বর্তমানে, GitHub প্রকাশ করেছে যে এটি প্রয়োজন হবে যে সমস্ত ব্যবহারকারী যারা প্ল্যাটফর্মে কোড অবদান রাখে দুই-ফ্যাক্টর প্রমাণীকরণের এক বা একাধিক ফর্ম সক্ষম করুন (2FA)।
“GitHub এখানে একটি অনন্য অবস্থানে রয়েছে, কেবলমাত্র যেহেতু ওপেন সোর্স সম্প্রদায় এবং নির্মাতারা GitHub.com-এ বাস করেন, তাই আমরা তথ্যের স্বাস্থ্যবিধির জন্য বার বাড়িয়ে বৈশ্বিক বাস্তুতন্ত্রের নিরাপত্তার উপর একটি উল্লেখযোগ্য ইতিবাচক প্রভাব ফেলতে পারি। নিরাপত্তা ,” বলেছেন মাইক হ্যানলি, গিটহাবের প্রধান নিরাপত্তা কর্মকর্তা (সিএসও)। “আমরা বিশ্বাস করি যে এটি সত্যিই সেরা ইকোসিস্টেম-ওয়াইড সুবিধাগুলির মধ্যে একটি যা আমরা দিতে পারি এবং আমরা নিশ্চিত করতে প্রতিশ্রুতিবদ্ধ যে সফলভাবে গ্রহণ নিশ্চিত করার জন্য যেকোনো চ্যালেঞ্জ বা বাধা অতিক্রম করা হয়। »
GitHub ঘোষণা করেছে যে সাইটটিতে কোড আপলোড করা সমস্ত ব্যবহারকারীকে প্ল্যাটফর্ম ব্যবহার চালিয়ে যাওয়ার জন্য 2 সালের শেষ নাগাদ এক বা একাধিক ফর্ম দ্বি-মুখী দ্বি-ফ্যাক্টর প্রমাণীকরণ (2023FA) সক্ষম করতে হবে।
একটি ব্লগ পোস্টে নতুন নীতি ঘোষণা করা হয়েছে গিটহাবের চিফ সিকিউরিটি অফিসার (সিএসও) মাইক হ্যানলি দ্বারা, যিনি নিয়ন্ত্রণ নেওয়া দূষিত অভিনেতাদের দ্বারা সৃষ্ট হুমকি থেকে সফ্টওয়্যার ডেভেলপমেন্ট প্রক্রিয়ার অখণ্ডতা রক্ষায় মাইক্রোসফটের মালিকানাধীন প্ল্যাটফর্মের ভূমিকা হাইলাইট করেছেন। বিকাশকারী অ্যাকাউন্টগুলির।
অবশ্যই, বিকাশকারীর ব্যবহারকারীর অভিজ্ঞতাও বিবেচনায় নেওয়া হয়, এবং মাইক হ্যানলি জোর দিয়ে বলেন যে এই প্রয়োজনীয়তা আপনাকে আঘাত করবে না:
“GitHub নিশ্চিত করতে প্রতিশ্রুতিবদ্ধ যে শক্তিশালী অ্যাকাউন্ট সুরক্ষা একটি দুর্দান্ত বিকাশকারীর অভিজ্ঞতার ব্যয়ে আসে না এবং আমাদের শেষ-2023 লক্ষ্য আমাদের এর জন্য অপ্টিমাইজ করার সুযোগ দেয়। মান বিকশিত হওয়ার সাথে সাথে, আমরা পাসওয়ার্ডহীন প্রমাণীকরণ সহ ব্যবহারকারীদের নিরাপদে প্রমাণীকরণের নতুন উপায়গুলি সক্রিয়ভাবে অন্বেষণ করতে থাকব। বিশ্বজুড়ে বিকাশকারীরা আরও প্রমাণীকরণ এবং অ্যাকাউন্ট পুনরুদ্ধারের বিকল্পগুলির পাশাপাশি
যদিও মাল্টি-ফ্যাক্টর প্রমাণীকরণ অতিরিক্ত সুরক্ষা প্রদান করে অনলাইন অ্যাকাউন্টের জন্য গুরুত্বপূর্ণ, GitHub এর অভ্যন্তরীণ গবেষণা দেখায় যে সক্রিয় ব্যবহারকারীদের মাত্র 16,5% (ছয়টির মধ্যে একজন) বর্তমানে উন্নত নিরাপত্তা ব্যবস্থা সক্রিয় তাদের অ্যাকাউন্টে, একটি আশ্চর্যজনকভাবে কম সংখ্যা দেওয়া হয়েছে যে ব্যবহারকারী বেস থেকে প্ল্যাটফর্মকে অবশ্যই পাসওয়ার্ড-শুধু সুরক্ষার ঝুঁকি সম্পর্কে সচেতন হতে হবে।
এই ব্যবহারকারীদের একটি উচ্চ ন্যূনতম মান নির্দেশ করে অ্যাকাউন্ট সুরক্ষা, গিটহাব সার্বিক নিরাপত্তা জোরদার করার আশা করছে সামগ্রিকভাবে সফ্টওয়্যার উন্নয়ন সম্প্রদায়ের।
“নভেম্বর 2021-এ, GitHub 2FA সক্ষম না থাকা বিকাশকারী অ্যাকাউন্টগুলির সমঝোতার ফলে npm প্যাকেজগুলি অধিগ্রহণের পরে npm অ্যাকাউন্ট সুরক্ষায় নতুন বিনিয়োগের জন্য প্রতিশ্রুতিবদ্ধ। আমরা npm অ্যাকাউন্টের নিরাপত্তার উন্নতি চালিয়ে যাচ্ছি এবং GitHub-এর মাধ্যমে ডেভেলপার অ্যাকাউন্টগুলিকে সুরক্ষিত করতে প্রতিশ্রুতিবদ্ধ।
"বেশিরভাগ নিরাপত্তা লঙ্ঘনগুলি বহিরাগত শূন্য-দিনের আক্রমণের পণ্য নয়, বরং এর পরিবর্তে কম খরচে আক্রমণ যেমন সোশ্যাল ইঞ্জিনিয়ারিং, শংসাপত্র চুরি বা ফাঁস এবং অন্যান্য উপায়গুলি জড়িত যা আক্রমণকারীদের শিকারের অ্যাকাউন্ট এবং সংস্থানগুলিতে বিস্তৃত অ্যাক্সেস দেয়৷ তারা ব্যবহার করে. অ্যাক্সেস আছে. আপস করা অ্যাকাউন্টগুলি ব্যক্তিগত কোড চুরি করতে বা সেই কোডে দূষিত পরিবর্তন করতে ব্যবহার করা যেতে পারে। এটি শুধুমাত্র আপস করা অ্যাকাউন্টগুলির সাথে সংশ্লিষ্ট ব্যক্তি এবং সংস্থাগুলিই নয়, প্রভাবিত কোডের সমস্ত ব্যবহারকারীকেও প্রকাশ করে৷ ফলস্বরূপ, বৃহত্তর সফ্টওয়্যার ইকোসিস্টেম এবং সরবরাহ শৃঙ্খলে ডাউনস্ট্রিম প্রভাবের সম্ভাবনা যথেষ্ট।
একটি পরীক্ষা ইতিমধ্যে সম্পন্ন হয়েছে GitHub প্ল্যাটফর্ম ব্যবহারকারীদের একটি উপসেটের একটি ভগ্নাংশের সাথে একটি ছোট উপসেট সহ 2FA ব্যবহারের প্রয়োজনের জন্য ইতিমধ্যে একটি নজির স্থাপন করেছে৷ প্ল্যাটফর্ম ব্যবহারকারীদের, npm প্যাকেজ ম্যানেজমেন্ট সফ্টওয়্যার দিয়ে বিতরণ করা জনপ্রিয় জাভাস্ক্রিপ্ট লাইব্রেরিতে অবদানকারীদের সাথে এটি পরীক্ষা করার পরে।
যেহেতু ব্যাপকভাবে ব্যবহৃত এনপিএম প্যাকেজগুলি প্রতি সপ্তাহে লক্ষ লক্ষ বার ডাউনলোড করা যেতে পারে, সেগুলি ম্যালওয়্যার অপারেটরদের জন্য একটি খুব আকর্ষণীয় লক্ষ্য। কিছু ক্ষেত্রে, হ্যাকাররা এনপিএম অবদানকারীদের অ্যাকাউন্টের সাথে আপস করেছে এবং পাসওয়ার্ড চুরিকারী এবং ক্রিপ্টোমাইনারদের দ্বারা ইনস্টল করা সফ্টওয়্যার আপডেটগুলি প্রকাশ করতে তাদের ব্যবহার করেছে।
প্রতিক্রিয়া হিসাবে, গিটহাব ফেব্রুয়ারী 100 সাল থেকে শীর্ষ 2022 এনপিএম প্যাকেজের রক্ষণাবেক্ষণকারীদের জন্য দ্বি-ফ্যাক্টর প্রমাণীকরণ বাধ্যতামূলক করেছে। কোম্পানিটি মে মাসের শেষের দিকে শীর্ষ 500 প্যাকেজের অবদানকারীদের জন্য একই প্রয়োজনীয়তা প্রসারিত করার পরিকল্পনা করেছে।
সাধারণভাবে, এর মানে হল 2FA ব্যবহার বাধ্যতামূলক করার জন্য একটি দীর্ঘ সময়সীমা নির্ধারণ করা সাইট জুড়ে এবং 2024 সময়সীমার আগে ব্যবহারকারীদের দত্তক নেওয়ার দিকে চালিত করার জন্য বিভিন্ন ধরণের অনবোর্ডিং প্রবাহ ডিজাইন করুন, হ্যানলি বলেছেন।
ওপেন সোর্স সফ্টওয়্যার সুরক্ষিত করা সফ্টওয়্যার শিল্পের জন্য একটি গুরুত্বপূর্ণ উদ্বেগের বিষয়, বিশেষ করে গত বছরের log4j দুর্বলতার পরে। কিন্তু যদিও GitHub-এর নতুন নীতি কিছু হুমকি প্রশমিত করবে, পদ্ধতিগত চ্যালেঞ্জগুলি রয়ে গেছে: অনেক ওপেন সোর্স সফ্টওয়্যার প্রকল্প এখনও অবৈতনিক স্বেচ্ছাসেবকদের দ্বারা রক্ষণাবেক্ষণ করা হয় এবং তহবিল ফাঁক বন্ধ করা সামগ্রিকভাবে প্রযুক্তি শিল্পের জন্য একটি বড় সমস্যা হিসাবে দেখা হয়।
পরিশেষে আপনি যদি এটি সম্পর্কে আরও জানতে আগ্রহী হন, আপনি বিশদ পরীক্ষা করতে পারেন নীচের লিঙ্কে।