Εδώ και αρκετούς μήνες είχαμε σχολιάσει διάφορα δημοσιεύματα Τι κάνουμε για το σθέματα ασφάλειας που προέκυψαν στο GitHub και σχετικά με τα μέτρα που είχαν προγραμματίσει να ενσωματώσουν στην πλατφόρμα προκειμένου να εξουδετερώσουν περαιτέρω τις παραβιάσεις ασφαλείας που εκμεταλλεύτηκαν οι χάκερ για να αποκτήσουν πρόσβαση στα αποθετήρια έργων.
Και τώρα επί του παρόντος, Το GitHub αποκάλυψε ότι θα χρειαστεί ότι όλοι οι χρήστες που συνεισφέρουν κώδικα στην πλατφόρμα ενεργοποιήστε μία ή περισσότερες μορφές ελέγχου ταυτότητας δύο παραγόντων (2FA).
«Το GitHub βρίσκεται σε μοναδική θέση εδώ, απλώς και μόνο επειδή, ως η συντριπτική πλειοψηφία των κοινοτήτων ανοιχτού κώδικα και των δημιουργών που ζουν στο GitHub.com, μπορούμε να έχουμε σημαντικό θετικό αντίκτυπο στην ασφάλεια του παγκόσμιου οικοσυστήματος αυξάνοντας το επίπεδο υγιεινής της ασφάλειας », δήλωσε ο Mike Hanley, επικεφαλής ασφαλείας του GitHub (CSO). «Πιστεύουμε ότι αυτό είναι πραγματικά ένα από τα καλύτερα οφέλη σε όλο το οικοσύστημα που μπορούμε να προσφέρουμε και δεσμευόμαστε να διασφαλίσουμε ότι θα ξεπεράσουμε τυχόν προκλήσεις ή εμπόδια για να διασφαλίσουμε την επιτυχή υιοθέτηση. »
Το GitHub ανακοίνωσε ότι όλοι οι χρήστες που ανεβάζουν κώδικα στον ιστότοπο θα πρέπει να ενεργοποιήσουν μία ή περισσότερες μορφές αμφίδρομης ταυτοποίησης δύο παραγόντων (2FA) μέχρι το τέλος του 2023, προκειμένου να συνεχίσουν να χρησιμοποιούν την πλατφόρμα.
Η νέα πολιτική ανακοινώθηκε σε ανάρτηση ιστολογίου από τον Mike Hanley CSO του GitHub, ο οποίος τόνισε το ρόλο της πλατφόρμας που ανήκει στη Microsoft στην προστασία της ακεραιότητας της διαδικασίας ανάπτυξης λογισμικού από απειλές που δημιουργούνται από κακόβουλους παράγοντες που αναλαμβάνουν τη διαχείριση. των λογαριασμών προγραμματιστή.
Φυσικά, λαμβάνεται επίσης υπόψη η εμπειρία χρήστη του προγραμματιστή και ο Mike Hanley τονίζει ότι αυτή η απαίτηση δεν θα σας βλάψει:
«Το GitHub δεσμεύεται να διασφαλίσει ότι η ισχυρή ασφάλεια του λογαριασμού δεν θα εις βάρος μιας εξαιρετικής εμπειρίας προγραμματιστή και ο στόχος μας στο τέλος του 2023 μας δίνει την ευκαιρία να βελτιστοποιήσουμε για αυτό. Καθώς τα πρότυπα εξελίσσονται, θα συνεχίσουμε να εξερευνούμε ενεργά νέους τρόπους για τον ασφαλή έλεγχο ταυτότητας των χρηστών, συμπεριλαμβανομένου του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης. Οι προγραμματιστές σε όλο τον κόσμο μπορούν να προσβλέπουν σε περισσότερες επιλογές ελέγχου ταυτότητας και ανάκτησης λογαριασμού, καθώς και
Αν και ο έλεγχος ταυτότητας πολλαπλών παραγόντων προσφέρει πρόσθετη προστασία σημαντικό για διαδικτυακούς λογαριασμούς, εσωτερική έρευνα του GitHub δείχνει ότι μόνο το 16,5% των ενεργών χρηστών (περίπου ένας στους έξι) επί του παρόντος επιτρέπουν ενισχυμένα μέτρα ασφαλείας στους λογαριασμούς τους, ένας εκπληκτικά χαμηλός αριθμός δεδομένου ότι η πλατφόρμα από τη βάση χρηστών πρέπει να γνωρίζει τους κινδύνους της προστασίας μόνο με κωδικό πρόσβασης.
Κατευθύνοντας αυτούς τους χρήστες σε ένα υψηλότερο ελάχιστο επίπεδο προστασία λογαριασμού, GitHub ελπίζει να ενισχύσει τη συνολική ασφάλεια της κοινότητας ανάπτυξης λογισμικού στο σύνολό της.
«Τον Νοέμβριο του 2021, το GitHub δεσμεύτηκε σε νέες επενδύσεις στην ασφάλεια λογαριασμών npm μετά την απόκτηση πακέτων npm ως αποτέλεσμα του παραβιασμού των λογαριασμών προγραμματιστών χωρίς ενεργοποιημένο το 2FA. Συνεχίζουμε να κάνουμε βελτιώσεις στην ασφάλεια του λογαριασμού npm και δεσμευόμαστε επίσης να προστατεύουμε τους λογαριασμούς προγραμματιστών μέσω του GitHub.
«Οι περισσότερες παραβιάσεις ασφαλείας δεν είναι προϊόν εξωτικών επιθέσεων zero-day, αλλά περιλαμβάνουν επιθέσεις χαμηλού κόστους όπως κοινωνική μηχανική, κλοπή διαπιστευτηρίων ή διαρροή και άλλες οδούς που παρέχουν στους εισβολείς ένα ευρύ φάσμα πρόσβασης στους λογαριασμούς θυμάτων και στους πόρους που χρησιμοποιούν. έχουν πρόσβαση σε. Οι παραβιασμένοι λογαριασμοί μπορούν να χρησιμοποιηθούν για την κλοπή ιδιωτικού κώδικα ή για κακόβουλες αλλαγές σε αυτόν τον κωδικό. Αυτό εκθέτει όχι μόνο τα άτομα και τους οργανισμούς που σχετίζονται με τους παραβιασμένους λογαριασμούς, αλλά και όλους τους χρήστες του επηρεαζόμενου κώδικα. Ως αποτέλεσμα, η πιθανότητα καθοδικής επίδρασης στο ευρύτερο οικοσύστημα λογισμικού και στην αλυσίδα εφοδιασμού είναι σημαντική.
Ένα πείραμα έχει ήδη γίνει με ένα κλάσμα ενός υποσυνόλου χρηστών της πλατφόρμας GitHub έχει ήδη δημιουργήσει προηγούμενο για την υποχρεωτική χρήση του 2FA με ένα μικρότερο υποσύνολο των χρηστών της πλατφόρμας, αφού την έχουν δοκιμάσει με συνεργάτες δημοφιλών βιβλιοθηκών JavaScript που διανέμονται με λογισμικό διαχείρισης πακέτων npm.
Δεδομένου ότι τα ευρέως χρησιμοποιούμενα πακέτα npm μπορούν να ληφθούν εκατομμύρια φορές την εβδομάδα, αποτελούν πολύ ελκυστικό στόχο για τους χειριστές κακόβουλου λογισμικού. Σε ορισμένες περιπτώσεις, οι χάκερ παραβίασαν τους λογαριασμούς των συνεργατών npm και τους χρησιμοποίησαν για να προωθήσουν ενημερώσεις λογισμικού που είχαν εγκατασταθεί από κλέφτες κωδικών πρόσβασης και cryptominers.
Σε απάντηση, το GitHub έχει καταστήσει υποχρεωτικό τον έλεγχο ταυτότητας δύο παραγόντων για τους συντηρητές των κορυφαίων πακέτων 100 npm από τον Φεβρουάριο του 2022. Η εταιρεία σκοπεύει να επεκτείνει τις ίδιες απαιτήσεις στους συνεισφέροντες των κορυφαίων 500 πακέτων έως τα τέλη Μαΐου.
Σε γενικές γραμμές, Αυτό σημαίνει να ορίσετε μια μακρά προθεσμία για να καταστεί υποχρεωτική η χρήση του 2FA σε ολόκληρο τον ιστότοπο και σχεδιάστε μια ποικιλία ροών ενσωμάτωσης για να οδηγήσετε τους χρήστες στην υιοθέτηση πολύ πριν από την προθεσμία του 2024, είπε ο Hanley.
Η διασφάλιση του λογισμικού ανοιχτού κώδικα παραμένει ένα πιεστικό μέλημα για τη βιομηχανία λογισμικού, ειδικά μετά την περσινή ευπάθεια log4j. Ωστόσο, ενώ η νέα πολιτική του GitHub θα μετριάσει ορισμένες απειλές, εξακολουθούν να υπάρχουν συστημικές προκλήσεις: Πολλά έργα λογισμικού ανοιχτού κώδικα εξακολουθούν να διατηρούνται από απλήρωτους εθελοντές και η κάλυψη του κενού χρηματοδότησης θεωρείται μείζον ζήτημα για τον κλάδο της τεχνολογίας στο σύνολό του.
Τελικά αν ενδιαφέρεστε να μάθετε περισσότερα γι 'αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.