Već nekoliko mjeseci komentarisali smo u raznim publikacijama šta radimo u vezi sa strbezbjednosna pitanja koji su se pojavili na GitHubu i o mjerama koje su planirali integrirati u platformu kako bi mogli dalje da se suprotstave sigurnosnim prazninama koje su hakeri iskoristili za pristup repozitorijumima projekata.
I sada trenutno, GitHub je najavio da će to zahtijevati da svi korisnici koji doprinose kodu platformi omogućiti jedan ili više oblika dvofaktorske autentifikacije (2FA).
"GitHub je ovdje u jedinstvenoj poziciji, jednostavno zato što velika većina zajednica otvorenog koda i kreatora živi na GitHub.com, možemo imati značajan pozitivan utjecaj na sigurnost globalnog ekosistema podizanjem letvice za GitHub higijenu." “, rekao je Mike Hanley, glavni službenik za sigurnost (CSO) na GitHubu. “Vjerujemo da je ovo zaista jedna od najboljih pogodnosti za cijeli ekosistem koje možemo ponuditi, i posvećeni smo tome da osiguramo da prevaziđemo sve izazove ili prepreke kako bismo osigurali uspješno usvajanje. »
GitHub je najavio da će svi korisnici koji postavljaju kod na stranicu morati omogućiti jedan ili više oblika dvosmjerne dvofaktorske autentifikacije (2FA) do kraja 2023. kako bi nastavili koristiti platformu.
Nova politika objavljena je u blogu od strane glavnog službenika za sigurnost GitHuba Mikea Hanleya, koji je istakao ulogu platforme u vlasništvu Microsofta u zaštiti integriteta procesa razvoja softvera od prijetnji koje stvaraju zlonamjerni akteri koji preuzimaju kontrolu. računa programera.
Naravno, uzima se u obzir i korisničko iskustvo programera, a Mike Hanley naglašava da mu ovaj zahtjev neće štetiti:
“GitHub je posvećen osiguravanju da jaka sigurnost računa ne dolazi nauštrb sjajnog iskustva programera, a naš cilj do kraja 2023. nam daje priliku da optimiziramo za to. Kako se standardi razvijaju, nastavit ćemo aktivno istraživati nove načine za sigurnu provjeru autentičnosti korisnika, uključujući autentifikaciju bez lozinke. Programeri širom svijeta mogu očekivati više opcija za autentifikaciju i oporavak naloga, kao i
Iako višefaktorska autentifikacija nudi dodatnu zaštitu značajno za online račune, Interno istraživanje GitHub-a pokazuje da je samo 16,5% aktivnih korisnika (otprilike jedan od šest) Trenutno omogućavaju pojačane mjere sigurnosti na njihovim računima, iznenađujuće niska brojka s obzirom na to da platforma iz baze korisnika mora biti svjesna rizika zaštite samo lozinkom.
Usmjeravanjem ovih korisnika na viši minimalni standard zaštita naloga, GitHub nada da će ojačati ukupnu sigurnost zajednice za razvoj softvera u cjelini.
„U novembru 2021. GitHub se obavezao na nova ulaganja u sigurnost npm naloga nakon akvizicije npm paketa kao rezultat kompromitovanja naloga programera bez omogućene 2FA. Nastavljamo da poboljšavamo sigurnost npm naloga i takođe smo posvećeni zaštiti naloga programera putem GitHub-a.
„Većina kršenja sigurnosti nije proizvod egzotičnih napada nultog dana, već uključuje jeftine napade poput društvenog inženjeringa, krađe ili curenja akreditiva i drugih načina koji napadačima daju širok spektar pristupa nalozima žrtava i resursima. oni koriste. imati pristup. Kompromitovani nalozi se mogu koristiti za krađu privatnog koda ili za zlonamerne promene tog koda. Ovo otkriva ne samo ljude i organizacije povezane sa kompromitovanim nalozima, već i sve korisnike koda na koje se to odnosi. Kao rezultat toga, potencijal daljeg uticaja na širi softverski ekosistem i lanac snabdevanja je značajan.
Eksperiment je već sproveden sa djelićem podskupa korisnika GitHub platforme je već postavio presedan za traženje upotrebe 2FA sa manjim podskupom korisnika platforme, nakon testiranja sa suradnicima popularnih JavaScript biblioteka distribuiranih sa npm softverom za upravljanje paketima.
Pošto se široko korišćeni npm paketi mogu preuzeti milione puta nedeljno, oni su veoma privlačna meta za operatere zlonamernog softvera. U nekim slučajevima, hakeri su kompromitovali naloge npm saradnika i koristili ih za izdavanje softverskih ažuriranja koje su instalirali kradljivači lozinki i kriptomineri.
Kao odgovor, GitHub je učinio dvofaktorsku autentifikaciju obaveznom za održavaoce najboljih 100 npm paketa počevši od februara 2022. Kompanija planira proširiti iste zahtjeve na saradnike najboljih 500 paketa do kraja maja.
Općenito govoreći To znači određivanje dugog roka da upotreba 2FA bude obavezna na cijeloj web stranici i dizajnirati različite tokove uključivanja kako bi korisnike potakli na usvajanje znatno prije roka za 2024., rekao je Hanley.
Osiguravanje softvera otvorenog koda ostaje goruća briga za softversku industriju, posebno nakon prošlogodišnje ranjivosti log4j. Ali dok će nova politika GitHub-a ublažiti neke prijetnje, sistemski izazovi ostaju: mnoge softverske projekte otvorenog koda i dalje održavaju neplaćeni volonteri, a zatvaranje jaza u finansiranju smatra se glavnim problemom za tehnološku industriju u cjelini.
Konačno ako ste zainteresirani da saznate više o tome, možete provjeriti detalje Na sledećem linku.