Seit mehreren Monaten wir hatten mehrere Veröffentlichungen kommentiert was wir über die p tunSicherheitsprobleme die sich in GitHub ergeben haben und welche Maßnahmen sie in die Plattform integrieren wollten, um den Sicherheitslücken, die Hacker für den Zugriff auf Projekt-Repositories ausnutzten, stärker entgegenwirken zu können.
Und jetzt momentan, GitHub gab bekannt, dass dies erforderlich sein wird dass alle Benutzer, die Code zur Plattform beitragen Aktivieren Sie eine oder mehrere Formen der Zwei-Faktor-Authentifizierung (2FA).
„GitHub ist hier in einer einzigartigen Position, einfach weil die überwiegende Mehrheit der Open-Source-Communities und -Ersteller auf GitHub.com leben, können wir einen erheblichen positiven Einfluss auf die Sicherheit des globalen Ökosystems ausüben, indem wir die Messlatte für Informationshygiene höher legen “, sagte Mike Hanley, Chief Security Officer (CSO) von GitHub. „Wir glauben, dass dies wirklich einer der besten ökosystemweiten Vorteile ist, die wir anbieten können, und wir setzen uns dafür ein, dass alle Herausforderungen oder Hindernisse überwunden werden, um eine erfolgreiche Einführung zu gewährleisten. »
GitHub hat angekündigt, dass alle Benutzer, die Code auf die Website hochladen, bis Ende 2 eine oder mehrere Formen der Zwei-Wege-Zwei-Faktor-Authentifizierung (2023FA) aktivieren müssen, um die Plattform weiterhin nutzen zu können.
Die neue Richtlinie wurde in einem Blogbeitrag angekündigt von Mike Hanley, Chief Security Officer (CSO) von GitHub, der die Rolle der proprietären Plattform von Microsoft beim Schutz der Integrität des Softwareentwicklungsprozesses vor Bedrohungen durch böswillige Akteure hervorhob, die die Kontrolle übernehmen. von Entwicklerkonten.
Natürlich wird auch die Benutzererfahrung des Entwicklers berücksichtigt, und Mike Hanley betont, dass Ihnen diese Anforderung nicht schaden wird:
„GitHub setzt sich dafür ein, dass eine starke Kontosicherheit nicht auf Kosten einer großartigen Entwicklererfahrung geht, und unser Ziel für Ende 2023 gibt uns die Möglichkeit, dafür zu optimieren. Während sich die Standards weiterentwickeln, werden wir weiterhin aktiv nach neuen Wegen suchen, um Benutzer sicher zu authentifizieren, einschließlich passwortloser Authentifizierung. Entwickler auf der ganzen Welt können sich auf weitere Authentifizierungs- und Kontowiederherstellungsoptionen freuen
Obwohl die Multi-Faktor-Authentifizierung zusätzlichen Schutz bietet wichtig für Online-Konten, Die interne Recherche von GitHub zeigt, dass nur 16,5 % der aktiven Benutzer (ungefähr einer von sechs) ermöglichen derzeit erweiterte Sicherheitsmaßnahmen auf ihren Konten, eine überraschend niedrige Zahl, wenn man bedenkt, dass sich die Plattform aus der Benutzerbasis der Risiken des Nur-Passwort-Schutzes bewusst sein muss.
Indem wir diese Benutzer auf einen höheren Mindeststandard lenken Kontoschutz, GitHub hofft, die allgemeine Sicherheit zu stärken der Softwareentwicklungsgemeinschaft als Ganzes.
„Im November 2021 verpflichtete sich GitHub zu neuen Investitionen in die Sicherheit von npm-Konten nach dem Erwerb von npm-Paketen infolge der Kompromittierung von Entwicklerkonten ohne aktivierte 2FA. Wir verbessern weiterhin die Sicherheit von npm-Konten und verpflichten uns außerdem, Entwicklerkonten über GitHub zu schützen.
„Die meisten Sicherheitsverletzungen sind nicht das Produkt exotischer Zero-Day-Angriffe, sondern beinhalten stattdessen kostengünstige Angriffe wie Social Engineering, Diebstahl von Anmeldeinformationen oder Leaks und andere Wege, die Angreifern einen breiten Zugang zu Konten von Opfern und den Ressourcen ermöglichen Sie benutzen. Zugriff haben. Kompromittierte Konten können verwendet werden, um privaten Code zu stehlen oder böswillige Änderungen an diesem Code vorzunehmen. Dadurch werden nicht nur die mit den kompromittierten Konten verbundenen Personen und Organisationen offengelegt, sondern auch alle Benutzer des betroffenen Codes. Infolgedessen ist das Potenzial für nachgelagerte Auswirkungen auf das breitere Software-Ökosystem und die Lieferkette erheblich.
Ein Experiment bereits durchgeführt mit einem Bruchteil einer Untergruppe von GitHub-Plattformbenutzern haben bereits einen Präzedenzfall geschaffen, um die Verwendung von 2FA mit einer kleineren Teilmenge zu fordern von Plattformbenutzern, nachdem sie es mit Mitwirkenden beliebter JavaScript-Bibliotheken getestet hatten, die mit der npm-Paketverwaltungssoftware vertrieben wurden.
Da weit verbreitete npm-Pakete millionenfach pro Woche heruntergeladen werden können, sind sie ein sehr attraktives Ziel für Malware-Betreiber. In einigen Fällen haben Hacker die Konten von npm-Mitwirkenden kompromittiert und sie verwendet, um Software-Updates zu veröffentlichen, die von Passwortdieben und Cryptominern installiert wurden.
Als Reaktion darauf hat GitHub die Zwei-Faktor-Authentifizierung für Betreuer der Top-100-npm-Pakete seit Februar 2022 obligatorisch. Das Unternehmen plant, die gleichen Anforderungen bis Ende Mai auf Mitwirkende der Top-500-Pakete auszudehnen.
Im Allgemeinen Dies bedeutet, eine lange Frist festzulegen, um die Verwendung von 2FA obligatorisch zu machen auf der gesamten Website und entwerfen Sie eine Vielzahl von Onboarding-Flows, um die Benutzer weit vor Ablauf der Frist 2024 zur Annahme zu bewegen, sagte Hanley.
Die Sicherung von Open-Source-Software bleibt ein dringendes Anliegen der Softwareindustrie, insbesondere nach der letztjährigen log4j-Schwachstelle. Aber während die neue Richtlinie von GitHub einige Bedrohungen mindern wird, bleiben systemische Herausforderungen bestehen: Viele Open-Source-Softwareprojekte werden immer noch von unbezahlten Freiwilligen gepflegt, und das Schließen der Finanzierungslücke wird als ein wichtiges Problem für die Technologiebranche insgesamt angesehen.
Schließlich wenn Sie mehr darüber wissen möchtenkönnen Sie die Details überprüfen im folgenden Link.