Již několik měsíců komentovali jsme několik publikací co děláme s pbezpečnostní problémy které se objevily na GitHubu a o opatřeních, která plánovali integrovat do platformy, aby byli schopni ve větší míře čelit bezpečnostním mezerám, které hackeři využili k přístupu do repozitářů projektů.
A teď v současné době, GitHub prozradil, že to bude vyžadovat že všichni uživatelé, kteří přispívají kódem na platformu povolit jednu nebo více forem dvoufaktorové autentizace (2FA).
„GitHub je zde v jedinečné pozici, jednoduše proto, že naprostá většina open source komunit a tvůrců žije na GitHub.com, můžeme významně pozitivně ovlivnit bezpečnost globálního ekosystému zvýšením laťky pro hygienu informací. “ řekl Mike Hanley, hlavní bezpečnostní ředitel GitHubu (CSO). „Věříme, že je to skutečně jedna z nejlepších výhod pro celý ekosystém, kterou můžeme nabídnout, a jsme odhodláni zajistit, aby byly překonány všechny výzvy nebo překážky, aby bylo zajištěno úspěšné přijetí. »
GitHub oznámil, že všichni uživatelé nahrávající kód na web budou muset do konce roku 2 povolit jednu nebo více forem obousměrného dvoufaktorového ověřování (2023FA), aby mohli platformu nadále používat.
Nová politika byla oznámena v příspěvku na blogu Mike Hanley, Chief Security Officer (CSO) GitHubu, který zdůraznil roli proprietární platformy Microsoftu při ochraně integrity procesu vývoje softwaru před hrozbami vytvořenými zlomyslnými aktéry, kteří přebírají kontrolu. vývojářských účtů.
Samozřejmě se bere v úvahu i uživatelská zkušenost vývojáře a Mike Hanley zdůrazňuje, že tento požadavek vám neublíží:
„GitHub se zavázal zajistit, že silné zabezpečení účtů nebude na úkor skvělých vývojářských zkušeností, a náš cíl na konci roku 2023 nám dává příležitost k optimalizaci. Jak se standardy vyvíjejí, budeme i nadále aktivně zkoumat nové způsoby bezpečného ověřování uživatelů, včetně ověřování bez hesla. Vývojáři z celého světa se mohou těšit na další možnosti ověřování a obnovení účtu
I když vícefaktorová autentizace nabízí další ochranu významné pro online účty, Interní výzkum GitHubu ukazuje, že pouze 16,5 % aktivních uživatelů (asi jeden ze šesti) v současné době umožňují zvýšená bezpečnostní opatření na jejich účtech překvapivě nízké číslo vzhledem k tomu, že platforma z uživatelské základny si musí být vědoma rizik ochrany pouze heslem.
Nasměrováním těchto uživatelů na vyšší minimální standard ochrana účtu, GitHub doufá, že posílí celkovou bezpečnost komunity vývojářů softwaru jako celku.
„V listopadu 2021 se GitHub zavázal k novým investicím do zabezpečení účtu npm po akvizici balíčků npm v důsledku kompromitace vývojářských účtů bez povolených 2FA. Pokračujeme ve vylepšování zabezpečení účtu npm a také se zavazujeme chránit účty vývojářů prostřednictvím GitHubu.
„Většina narušení bezpečnosti není produktem exotických útoků zero-day, ale místo toho zahrnuje nízkonákladové útoky, jako je sociální inženýrství, krádeže nebo úniky pověření a další způsoby, které útočníkům poskytují širokou škálu přístupu k účtům obětí a zdrojům. Používají. mít přístup. Prolomené účty mohou být použity ke krádeži soukromého kódu nebo k provádění škodlivých změn v tomto kódu. To odhalí nejen osoby a organizace spojené s napadenými účty, ale také všechny uživatele postiženého kódu. V důsledku toho je potenciál následného dopadu na širší softwarový ekosystém a dodavatelský řetězec značný.
Experiment již proběhl se zlomkem podmnožiny uživatelů platformy GitHub již vytvořil precedens pro vyžadování použití 2FA s menší podmnožinou uživatelů platformy poté, co ji otestovali s přispěvateli do populárních knihoven JavaScript distribuovaných se softwarem pro správu balíčků npm.
Vzhledem k tomu, že široce používané balíčky npm lze stahovat milionykrát týdně, jsou velmi atraktivním cílem pro provozovatele malwaru. V některých případech hackeři kompromitovali účty přispěvatelů npm a použili je k vydání aktualizací softwaru, které nainstalovali zloději hesel a kryptomineři.
V reakci na to GitHub zavedl dvoufaktorovou autentizaci povinnou pro správce top 100 npm balíčků od února 2022. Společnost plánuje rozšířit stejné požadavky na přispěvatele top 500 balíčků do konce května.
Obecně řečeno, to znamená stanovit dlouhou lhůtu, aby bylo používání 2FA povinné na celém webu a navrhněte různé toky registrace, abyste přiměli uživatele k přijetí ještě před termínem v roce 2024, řekl Hanley.
Zabezpečení softwaru s otevřeným zdrojovým kódem zůstává pro softwarový průmysl naléhavým problémem, zejména po zranitelnosti log4j v loňském roce. Ale zatímco nová politika GitHubu zmírní některé hrozby, systémové výzvy zůstávají: Mnoho open source softwarových projektů je stále udržováno neplacenými dobrovolníky a odstranění mezery ve financování je považováno za hlavní problém pro technický průmysl jako celek.
Konečně pokud máte zájem o tom vědět více, můžete zkontrolovat podrobnosti Na následujícím odkazu.