Bidh GitHub a-nis ag iarraidh air a h-uile neach-cleachdaidh a chuireas a-steach còd FA2 a chleachdadh ro dheireadh 2023

Suaicheantas GitHub

Airson grunn mhìosan a-nis bha sinn air iomradh a thoirt air grunn fhoillseachaidhean dè nì sinn mu dheidhinn pduilgheadasan tèarainteachd a tha air èirigh ann an GitHub agus mu na ceumannan a bha iad an dùil fhilleadh a-steach don àrd-ùrlar gus a bhith comasach air dèiligeadh gu ìre nas motha ris na beàrnan tèarainteachd a ghabh luchd-tarraing brath air gus faighinn gu stòran pròiseict.

Agus a-nis an-dràsta, Dh'fhoillsich GitHub gum feum e gum bi a h-uile neach-cleachdaidh a chuireas còd ris an àrd-ùrlar comas a thoirt do aon sheòrsa no barrachd de dhearbhadh dà-fhactaraidh (2FA).

“Tha GitHub ann an suidheachadh gun samhail an seo, dìreach leis gu bheil a’ mhòr-chuid de na coimhearsnachdan fosgailte agus luchd-cruthachaidh a ’fuireach air GitHub.com, is urrainn dhuinn buaidh mhath a thoirt air tèarainteachd eag-shiostam na cruinne le bhith ag àrdachadh a’ bhàr airson slàinteachas fiosrachaidh. ", thuirt Mike Hanley, prìomh oifigear tèarainteachd GitHub (CSO). “Tha sinn den bheachd gur e seo dha-rìribh aon de na buannachdan as fheàrr air feadh an eag-shiostam as urrainn dhuinn a thabhann, agus tha sinn dealasach a thaobh dèanamh cinnteach gun tèid faighinn seachad air dùbhlain no cnapan-starra sam bith gus dèanamh cinnteach gun tèid gabhail ris gu soirbheachail. »

Tha GitHub air ainmeachadh gum feum a h-uile neach-cleachdaidh a bhios a’ luchdachadh suas còd chun làrach cothrom a thoirt do aon sheòrsa no barrachd de dhearbhadh dà-fhactaraidh dà-shligheach (2FA) ro dheireadh 2023 gus cumail orra a’ cleachdadh an àrd-ùrlair.

Chaidh am poileasaidh ùr ainmeachadh ann am post blog  le Prìomh Oifigear Tèarainteachd GitHub (CSO) Mike Hanley, a chomharraich àite àrd-ùrlar seilbh Microsoft ann a bhith a’ dìon ionracas a’ phròiseas leasachadh bathar-bog bho chunnartan a chruthaich cleasaichean droch-rùnach a’ gabhail smachd. de chunntasan leasaiche.

Gu dearbh, thathas cuideachd a ’toirt aire do eòlas neach-cleachdaidh an leasaiche, agus tha Mike Hanley a’ daingneachadh nach dèan an riatanas seo dochann dhut:

“Tha GitHub dealasach a thaobh dèanamh cinnteach nach tig tèarainteachd cunntais làidir aig cosgais deagh eòlas leasaiche, agus tha an amas deireadh-2023 againn a’ toirt cothrom dhuinn an fheum as fheàrr a dhèanamh airson sin. Mar a thig inbhean air adhart, cumaidh sinn oirnn a’ sgrùdadh dhòighean ùra gus luchd-cleachdaidh a dhearbhadh gu tèarainte, a’ toirt a-steach dearbhadh gun fhacal-faire. Faodaidh luchd-leasachaidh air feadh an t-saoghail a bhith a’ coimhead air adhart ri barrachd roghainnean dearbhaidh is cunntais, a bharrachd air

Ged a tha dearbhadh ioma-fhactaraidh a 'tabhann dìon a bharrachd cudromach airson cunntasan air-loidhne, Tha rannsachadh taobh a-staigh GitHub a 'sealltainn nach eil ach 16,5% de luchd-cleachdaidh gnìomhach (mu aon ann an sia) an-dràsta a’ comasachadh ceumannan tèarainteachd leasaichte anns na cunntasan aca, àireamh iongantach ìosal leis gum feum an àrd-ùrlar bhon bhunait luchd-cleachdaidh a bhith mothachail air na cunnartan a thaobh dìon facal-faire a-mhàin.

Le bhith a’ stiùireadh an luchd-cleachdaidh sin gu ìre as ìsle nas àirde dìon cunntais, GitHub an dòchas tèarainteachd iomlan a neartachadh den choimhearsnachd leasachadh bathar-bog gu h-iomlan.

“San t-Samhain 2021, gheall GitHub tasgaidhean ùra ann an tèarainteachd cunntais npm às deidh dhaibh pasganan npm fhaighinn mar thoradh air co-rèiteachadh cunntasan leasaiche às aonais 2FA air a chomasachadh. Tha sinn a’ leantainn air adhart a’ dèanamh leasachaidhean air tèarainteachd cunntais npm agus tha sinn cuideachd dealasach a thaobh a bhith a’ dìon cunntasan leasaiche tro GitHub.

“Chan eil a’ mhòr-chuid de bhrisidhean tèarainteachd mar thoradh air ionnsaighean latha neoni exotic, ach an àite sin tha iad a’ toirt a-steach ionnsaighean cosgais ìosal leithid innleadaireachd sòisealta, goid creideas no aoidion, agus slighean eile a bheir cothrom farsaing do luchd-ionnsaigh air cunntasan luchd-fulaing agus na goireasan. tha iad a' cleachdadh. cothrom fhaighinn air. Faodar cunntasan ann an cunnart a chleachdadh gus còd prìobhaideach a ghoid no atharraichean droch-rùnach a dhèanamh air a’ chòd sin. Bidh seo a’ nochdadh chan e a-mhàin na daoine agus na buidhnean a tha co-cheangailte ris na cunntasan co-rèiteachaidh, ach cuideachd luchd-cleachdaidh a’ chòd air a bheil buaidh. Mar thoradh air an sin, tha comas mòr ann airson buaidh sìos an abhainn air an eag-shiostam bathar-bog nas fharsainge agus an t-sèine solair.

Deuchainn air a dhèanamh mu thràth le bloigh de fho-sheata de luchd-cleachdaidh àrd-ùrlar GitHub air fasach a stèidheachadh mu thràth airson a bhith ag iarraidh cleachdadh 2FA le fo-sheata nas lugha de luchd-cleachdaidh àrd-ùrlair, an dèidh deuchainn a dhèanamh air le luchd-tabhartais do leabharlannan JavaScript mòr-chòrdte air an sgaoileadh le bathar-bog stiùireadh pacaid npm.

Leis gum faodar pasganan npm a tha air an cleachdadh gu farsaing a luchdachadh sìos milleanan de thursan san t-seachdain, tha iad nan targaid gu math tarraingeach dha luchd-obrachaidh malware. Ann an cuid de chùisean, chuir luchd-hackers cunnart air cunntasan luchd-tabhartais npm agus chleachd iad iad gus ùrachaidhean bathar-bog a chaidh a chuir a-steach le luchd-goid facal-faire agus cryptominers a leigeil ma sgaoil.

Mar fhreagairt, tha GitHub air dearbhadh dà-fhactaraidh a dhèanamh èigneachail airson luchd-gleidhidh nam prìomh phasgan 100 npm bhon Ghearran 2022. Tha a’ chompanaidh an dùil na h-aon riatanasan a leudachadh gu luchd-tabhartais de na prìomh phasgan 500 ro dheireadh a ’Chèitein.

Anns an fharsaingeachd, tha seo a’ ciallachadh a bhith a’ suidheachadh ceann-latha fada gus feum a dhèanamh de 2FA èigneachail air feadh na làraich agus dealbhadh grunn shruthan air bòrd gus luchd-cleachdaidh a ghluasad a dh’ ionnsaigh uchd-mhacachd fada ron cheann-latha 2024, thuirt Hanley.

Tha a bhith a’ faighinn bathar-bog le còd fosgailte fhathast na dhragh mòr don ghnìomhachas bathar-bog, gu sònraichte às deidh so-leòntachd log4j an-uiridh. Ach ged a lughdaicheas poileasaidh ùr GitHub cuid de chunnartan, tha dùbhlain siostamach ann fhathast: Tha mòran de phròiseactan bathar-bog stòr fosgailte fhathast air an cumail suas le saor-thoilich gun phàigheadh, agus tha dùnadh a’ bheàrn maoineachaidh air fhaicinn mar phrìomh chùis don ghnìomhachas teic gu h-iomlan.

Mu dheireadh ma tha ùidh agad barrachd fhaighinn a-mach mu dheidhinn, faodaidh tu sgrùdadh a dhèanamh air na mion-fhiosrachadh Anns a ’cheangal a leanas.


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

Bi a 'chiad fhear a thog beachd

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh.

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.