Éileoidh GitHub anois ar gach úsáideoir a chuireann cód leis an FA2 a úsáid faoi dheireadh 2023

Lógó GitHub

Le roinnt míonna anois rinneamar trácht ar roinnt foilseachán cad a dhéanaimid faoin lchfadhbanna slándála atá tagtha chun cinn in GitHub agus faoi na bearta a bhí beartaithe acu a chomhtháthú leis an ardán chun go mbeidís in ann gníomhú níos mó ar na bearnaí slándála ar bhain hackers leas astu chun rochtain a fháil ar stórtha tionscadail.

Agus anois faoi ​​láthair, Nocht GitHub go mbeidh gá leis go mbeidh gach úsáideoir a chuireann cód leis an ardán cineál amháin nó níos mó de fhíordheimhniú dhá fhachtóir a chumasú (2FA).

“Tá GitHub i suíomh uathúil anseo, go simplí toisc go bhfuil formhór mór na bpobal foinse oscailte agus cruthaitheoirí ina gcónaí ar GitHub.com, is féidir linn tionchar dearfach suntasach a imirt ar shlándáil an éiceachórais dhomhanda tríd an mbarra do shláinteachas faisnéise a ardú. ,” a dúirt Mike Hanley, príomhoifigeach slándála GitHub (CSO). “Creidimid go bhfuil sé seo ar cheann de na tairbhí is fearr ar fud an éiceachórais is féidir linn a thairiscint, agus táimid tiomanta a chinntiú go sáraítear aon dúshláin nó constaicí chun glacadh rathúil a chinntiú. »

Tá sé fógartha ag GitHub go mbeidh ar gach úsáideoir atá ag uaslódáil cód chuig an suíomh foirm amháin nó níos mó de fhíordheimhniú dhá fhachtóir dhá bhealach (2FA) a chumasú faoi dheireadh 2023 chun leanúint ar aghaidh ag baint úsáide as an ardán.

Fógraíodh an polasaí nua i bhlagphost  ag Príomhoifigeach Slándála GitHub (CSO) Mike Hanley, a leag béim ar ról ardán dílseánaigh Microsoft maidir le sláine an phróisis forbartha bogearraí a chosaint ó bhagairtí a chruthaíonn gníomhaithe mailíseacha i gceannas. de chuntais fhorbróra.

Ar ndóigh, cuirtear taithí úsáideora an fhorbróra san áireamh freisin, agus cuireann Mike Hanley béim ar nach ndéanfaidh an riachtanas seo dochar duit:

“Tá GitHub tiomanta a chinntiú nach dtagann slándáil chuntais láidir ar chostas eispéireas iontach forbróra, agus tugann ár sprioc deireadh 2023 an deis dúinn leas iomlán a bhaint as sin. De réir mar a thagann caighdeáin chun cinn, leanfaimid orainn ag iniúchadh bealaí nua chun úsáideoirí a fhíordheimhniú go slán, lena n-áirítear fíordheimhniú gan pasfhocal. Is féidir le forbróirí ar fud an domhain a bheith ag tnúth le níos mó roghanna fíordheimhnithe agus aisghabhála cuntais, chomh maith le

Cé go dtugann fíordheimhniú ilfhachtóir cosaint bhreise suntasach maidir le cuntais ar líne, Léiríonn taighde inmheánach GitHub nach bhfuil ach 16,5% d'úsáideoirí gníomhacha (thart ar duine as gach seisear) bearta feabhsaithe slándála a chumasú faoi láthair ina gcuntais, líon ionadh íseal ós rud é go gcaithfidh an t-ardán ón mbonn úsáideora a bheith feasach ar na rioscaí a bhaineann le cosaint pasfhocail amháin.

Trí na húsáideoirí seo a threorú chuig íoschaighdeán níos airde cosaint cuntais, GitHub ag súil le slándáil iomlán a neartú den phobal forbartha bogearraí ina iomláine.

“I mí na Samhna 2021, gheall GitHub d’infheistíochtaí nua i slándáil chuntais npm tar éis éadáil pacáistí npm mar thoradh ar chomhréiteach cuntais fhorbróra gan cumas 2FA. Leanaimid d'fheabhsuithe a dhéanamh ar shlándáil chuntais npm agus táimid tiomanta freisin do chuntais fhorbróra a chosaint trí GitHub.

“Ní de thoradh ionsaithe coimhthíocha lá nialasacha an chuid is mó de sháruithe slándála, ach ina ionad sin baineann siad le hionsaithe ar chostas íseal amhail innealtóireacht shóisialta, goid creidiúnach nó sceitheanna, agus bealaí eile a thugann raon leathan rochtana d’ionsaitheoirí ar chuntais na n-íospartach agus ar na hacmhainní. úsáideann siad. rochtain a bheith agat ar. Is féidir cuntais faoi chontúirt a úsáid chun cód príobháideach a ghoid nó chun athruithe mailíseacha a dhéanamh ar an gcód sin. Nochtann sé seo ní amháin na daoine agus na heagraíochtaí a bhaineann leis na cuntais chontúirte, ach freisin gach úsáideoir an chóid lena mbaineann. Mar thoradh air sin, is mór an seans go mbeidh tionchar iartheachtacha ar an éiceachóras bogearraí níos leithne agus ar an slabhra soláthair níos leithne.

Turgnamh déanta cheana féin le codán de fho-thacar d'úsáideoirí ardán GitHub shocraigh fasach cheana chun a cheangal go n-úsáidfear 2FA le fo-thacar níos lú d’úsáideoirí ardáin, tar éis é a thástáil le rannpháirtithe i leabharlanna móréilimh JavaScript a dáileadh le bogearraí bainistíochta pacáiste npm.

Ós rud é gur féidir pacáistí npm a úsáidtear go forleathan a íoslódáil na milliúin uair sa tseachtain, is sprioc an-tarraingteach iad d'oibreoirí malware. I gcásanna áirithe, chuir hackers isteach ar chuntais ranníocóirí npm agus d’úsáid siad iad chun nuashonruithe bogearraí a scaoileadh a bhí suiteáilte ag stealers pasfhocal agus cripteadóirí.

Mar fhreagra air sin, tá fíordheimhniú dhá fhachtóir déanta ag GitHub éigeantach do chothabhálaithe na bpacáistí 100 npm is fearr ó mhí Feabhra 2022. Tá sé beartaithe ag an gcuideachta na ceanglais chéanna a leathnú chuig ranníocóirí na 500 pacáiste is fearr faoi dheireadh mhí na Bealtaine.

I dtéarmaí ginearálta, ciallaíonn sé sin spriocdháta fada a shocrú chun úsáid 2FA a bheith éigeantach ar fud an tsuímh agus dearadh sreafaí bordála éagsúla chun úsáideoirí a thiomáint i dtreo glactha i bhfad roimh an spriocdháta 2024, a dúirt Hanley.

Is cúis mhór imní fós don tionscal bogearraí bogearraí foinse oscailte a fháil, go háirithe tar éis leochaileacht log4j na bliana seo caite. Ach cé go maolóidh beartas nua GitHub roinnt bagairtí, tá dúshláin sistéamach fós ann: Tá go leor tionscadal bogearraí foinse oscailte fós á gcothabháil ag oibrithe deonacha gan íoc, agus feictear go bhfuil an bhearna maoinithe a dhúnadh ina cheist mhór don tionscal teicneolaíochta ina iomláine.

Ar deireadh má tá suim agat níos mó a fháil amach faoi, is féidir leat na sonraí a sheiceáil Sa nasc seo a leanas.


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú.

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.