گیت هاب اکنون از تمامی کاربرانی که کد را ارائه می دهند می خواهد تا پایان سال 2 از FA2023 استفاده کنند

آرم GitHub

الان چند ماهه ما در مورد چندین نشریه نظر داده بودیم آنچه ما در مورد p انجام می دهیممشکلات امنیتی که در GitHub ایجاد شده است و در مورد اقداماتی که آنها برای ادغام در پلتفرم برنامه ریزی کرده بودند تا بتوانند تا حد زیادی با شکاف های امنیتی که هکرها برای دسترسی به مخازن پروژه از آنها استفاده کردند، مقابله کنند.

و حالا در حال حاضر، GitHub فاش کرد که به آن نیاز دارد که همه کاربرانی که به پلتفرم کد کمک می کنند یک یا چند فرم از احراز هویت دو مرحله ای (2FA) را فعال کنید.

GitHub در اینجا در موقعیت منحصر به فردی قرار دارد، صرفاً به این دلیل که اکثریت قریب به اتفاق جوامع منبع باز و سازندگان در GitHub.com زندگی می کنند، ما می توانیم با بالا بردن سطح بهداشت اطلاعات، تأثیر مثبت قابل توجهی بر امنیت اکوسیستم جهانی بگذاریم. مایک هانلی، افسر ارشد امنیت GitHub (CSO) گفت. ما معتقدیم که این واقعاً یکی از بهترین مزایای اکوسیستمی است که می‌توانیم ارائه دهیم، و متعهد هستیم که بر هر چالش یا مانعی برای اطمینان از پذیرش موفقیت‌آمیز غلبه کنیم. »

گیت هاب اعلام کرده است که تمامی کاربرانی که کدهای خود را در سایت آپلود می کنند باید تا پایان سال 2 یک یا چند فرم از احراز هویت دو مرحله ای دو طرفه (2023FA) را فعال کنند تا بتوانند به استفاده از این پلت فرم ادامه دهند.

سیاست جدید در یک پست وبلاگ اعلام شد  توسط مدیر ارشد امنیت GitHub (CSO) Mike Hanley، که نقش پلتفرم اختصاصی مایکروسافت را در محافظت از یکپارچگی فرآیند توسعه نرم‌افزار در برابر تهدیدات ایجاد شده توسط عوامل مخرب که کنترل می‌کنند، برجسته کرد. از حساب های توسعه دهنده

البته تجربه کاربری توسعه دهنده نیز در نظر گرفته شده است و مایک هانلی تاکید می کند که این الزام به شما آسیبی نمی رساند:

GitHub متعهد است اطمینان حاصل کند که امنیت حساب کاربری قوی به قیمت یک تجربه توسعه‌دهنده عالی تمام نمی‌شود، و هدف پایان سال 2023 ما این فرصت را به ما می‌دهد تا برای آن بهینه‌سازی کنیم. با تکامل استانداردها، ما همچنان به کاوش فعالانه راه‌های جدید برای احراز هویت ایمن کاربران، از جمله احراز هویت بدون رمز عبور ادامه خواهیم داد. توسعه دهندگان در سراسر جهان می توانند منتظر گزینه های بیشتر احراز هویت و بازیابی حساب باشند

اگرچه احراز هویت چند عاملی محافظت بیشتری را ارائه می دهد برای حساب های آنلاین قابل توجه است، تحقیقات داخلی GitHub نشان می دهد که تنها 16,5 درصد از کاربران فعال هستند (حدود یک در شش) در حال حاضر اقدامات امنیتی پیشرفته را فعال می کند در حساب‌هایشان، عددی به‌طور شگفت‌آور کم است، با توجه به اینکه پلتفرم از پایگاه کاربر باید از خطرات محافظت فقط با رمز عبور آگاه باشد.

با هدایت این کاربران به حداقل استاندارد بالاتر حفاظت از حساب، GitHub امیدوار است امنیت کلی را تقویت کند جامعه توسعه نرم افزار به عنوان یک کل.

در نوامبر 2021، GitHub متعهد به سرمایه‌گذاری‌های جدید در امنیت حساب‌های npm پس از دستیابی به بسته‌های npm در نتیجه به خطر افتادن حساب‌های توسعه‌دهنده بدون فعال‌سازی 2FA شد. ما همچنان به بهبود امنیت حساب npm ادامه می دهیم و همچنین متعهد به محافظت از حساب های توسعه دهنده از طریق GitHub هستیم.

بیشتر نقض‌های امنیتی محصول حملات عجیب و غریب روز صفر نیستند، بلکه در عوض شامل حملات کم‌هزینه‌ای مانند مهندسی اجتماعی، سرقت مدارک یا نشت اطلاعات، و سایر راه‌هایی هستند که به مهاجمان دسترسی وسیعی به حساب‌های قربانیان و منابع می‌دهند. آنها استفاده می کنند. دسترسی داشته باشند. حساب های در معرض خطر را می توان برای سرقت کد خصوصی یا ایجاد تغییرات مخرب در آن کد استفاده کرد. این نه تنها افراد و سازمان‌های مرتبط با حساب‌های در معرض خطر، بلکه همه کاربران کد آسیب‌دیده را نیز افشا می‌کند. در نتیجه، پتانسیل تأثیر پایین دستی بر اکوسیستم نرم افزاری و زنجیره تأمین گسترده تر، قابل توجه است.

آزمایشی که قبلاً انجام شده است با کسری از زیرمجموعه ای از کاربران پلتفرم GitHub در حال حاضر سابقه ای برای نیاز به استفاده از 2FA با یک زیر مجموعه کوچکتر ایجاد کرده است کاربران پلتفرم، آن را با مشارکت کنندگان کتابخانه های محبوب جاوا اسکریپت که با نرم افزار مدیریت بسته npm توزیع شده اند، آزمایش کردند.

از آنجایی که بسته های پرکاربرد npm را می توان میلیون ها بار در هفته دانلود کرد، آنها هدف بسیار جذابی برای اپراتورهای بدافزار هستند. در برخی موارد، هکرها حساب‌های مشارکت‌کنندگان npm را به خطر انداختند و از آنها برای انتشار به‌روزرسانی‌های نرم‌افزاری که توسط دزدان رمز عبور و استخراج‌کنندگان رمزنگاری نصب شده بود، استفاده کردند.

در پاسخ، GitHub احراز هویت دو مرحله‌ای را برای نگهبانان بسته‌های 100 npm برتر از فوریه 2022 اجباری کرده است. این شرکت قصد دارد تا پایان ماه مه همان الزامات را برای مشارکت‌کنندگان 500 بسته برتر گسترش دهد.

به طور کلی، این به معنای تعیین یک مهلت طولانی برای اجباری کردن استفاده از 2FA است هانلی گفت: در سراسر سایت و طراحی انواع جریان های داخلی برای سوق دادن کاربران به سمت پذیرش قبل از مهلت 2024.

ایمن سازی نرم افزار منبع باز همچنان یک نگرانی مبرم برای صنعت نرم افزار است، به خصوص پس از آسیب پذیری log4j در سال گذشته. اما در حالی که سیاست جدید GitHub برخی از تهدیدها را کاهش می دهد، چالش های سیستمی همچنان باقی می ماند: بسیاری از پروژه های نرم افزاری منبع باز هنوز توسط داوطلبان بدون مزد نگهداری می شوند و از بین بردن شکاف بودجه به عنوان یک مسئله اصلی برای صنعت فناوری به عنوان یک کل تلقی می شود.

سرانجام اگر شما علاقه مند به دانستن بیشتر در مورد آن هستید، می توانید جزئیات را بررسی کنید در لینک زیر.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد.

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.