હવે ઘણા મહિનાઓથી અમે ઘણા પ્રકાશનો પર ટિપ્પણી કરી હતી અમે p વિશે શું કરીએ છીએસુરક્ષા સમસ્યાઓ જે GitHub માં ઉદ્ભવ્યા છે અને તે પગલાં વિશે કે જે તેઓએ પ્લેટફોર્મમાં એકીકૃત કરવાની યોજના બનાવી હતી જેથી હેકર્સે પ્રોજેક્ટ રિપોઝીટરીઝને ઍક્સેસ કરવા માટે લાભ લીધો હોય તેવા સુરક્ષા અંતરાયોને વધુ હદ સુધી પ્રતિકાર કરી શકે.
અને હવે હાલમાં, GitHub એ જાહેર કર્યું કે તેની જરૂર પડશે પ્લેટફોર્મ પર કોડનું યોગદાન આપનારા તમામ વપરાશકર્તાઓ ટુ-ફેક્ટર ઓથેન્ટિકેશન (2FA) ના એક અથવા વધુ સ્વરૂપોને સક્ષમ કરો.
“GitHub અહીં એક અનોખી સ્થિતિમાં છે, ફક્ત એટલા માટે કે મોટા ભાગના ઓપન સોર્સ સમુદાયો અને સર્જકો GitHub.com પર રહે છે, અમે માહિતી સ્વચ્છતા માટેના બારને વધારીને વૈશ્વિક ઇકોસિસ્ટમની સુરક્ષા પર નોંધપાત્ર હકારાત્મક અસર કરી શકીએ છીએ. સુરક્ષા ", GitHub ના મુખ્ય સુરક્ષા અધિકારી (CSO) માઇક હેનલીએ જણાવ્યું હતું. “અમે માનીએ છીએ કે આ ખરેખર શ્રેષ્ઠ ઇકોસિસ્ટમ-વ્યાપી લાભો પૈકી એક છે જે અમે ઓફર કરી શકીએ છીએ, અને અમે ખાતરી કરવા માટે પ્રતિબદ્ધ છીએ કે સફળતાપૂર્વક અપનાવવાની ખાતરી કરવા માટે કોઈપણ પડકારો અથવા અવરોધોને દૂર કરવામાં આવે. »
GitHub એ જાહેરાત કરી છે કે સાઇટ પર કોડ અપલોડ કરતા તમામ વપરાશકર્તાઓએ પ્લેટફોર્મનો ઉપયોગ ચાલુ રાખવા માટે 2 ના અંત સુધીમાં ટુ-વે ટુ-ફેક્ટર ઓથેન્ટિકેશન (2023FA) ના એક અથવા વધુ સ્વરૂપોને સક્ષમ કરવાની જરૂર પડશે.
નવી નીતિની જાહેરાત એક બ્લોગ પોસ્ટમાં કરવામાં આવી હતી GitHub ચીફ સિક્યોરિટી ઓફિસર (CSO) માઇક હેનલી દ્વારા, જેમણે દૂષિત અભિનેતાઓ દ્વારા નિયંત્રણ લેવાના જોખમોથી સૉફ્ટવેર ડેવલપમેન્ટ પ્રક્રિયાની અખંડિતતાને સુરક્ષિત કરવામાં માઇક્રોસોફ્ટના માલિકીના પ્લેટફોર્મની ભૂમિકા પર પ્રકાશ પાડ્યો હતો. વિકાસકર્તા એકાઉન્ટ્સની.
અલબત્ત, વિકાસકર્તાના વપરાશકર્તા અનુભવને પણ ધ્યાનમાં લેવામાં આવે છે, અને માઇક હેનલી ભારપૂર્વક જણાવે છે કે આ જરૂરિયાત તમને નુકસાન પહોંચાડશે નહીં:
“GitHub એ સુનિશ્ચિત કરવા માટે પ્રતિબદ્ધ છે કે મજબૂત એકાઉન્ટ સુરક્ષા એક મહાન વિકાસકર્તા અનુભવના ભોગે ન આવે, અને અમારો અંત-2023 ધ્યેય અમને તે માટે ઑપ્ટિમાઇઝ કરવાની તક આપે છે. જેમ જેમ ધોરણો વિકસિત થાય છે, તેમ તેમ અમે પાસવર્ડ રહિત પ્રમાણીકરણ સહિત વપરાશકર્તાઓને સુરક્ષિત રીતે પ્રમાણિત કરવાની નવી રીતોનું સક્રિયપણે અન્વેષણ કરવાનું ચાલુ રાખીશું. વિશ્વભરના વિકાસકર્તાઓ વધુ પ્રમાણીકરણ અને એકાઉન્ટ પુનઃપ્રાપ્તિ વિકલ્પોની રાહ જોઈ શકે છે, તેમજ
જોકે મલ્ટિ-ફેક્ટર પ્રમાણીકરણ વધારાની સુરક્ષા પ્રદાન કરે છે ઑનલાઇન એકાઉન્ટ્સ માટે મહત્વપૂર્ણ, GitHub ના આંતરિક સંશોધન દર્શાવે છે કે માત્ર 16,5% સક્રિય વપરાશકર્તાઓ (લગભગ છમાંથી એક) હાલમાં ઉન્નત સુરક્ષા પગલાં સક્ષમ કરો તેમના ખાતાઓમાં, આશ્ચર્યજનક રીતે ઓછી સંખ્યા આપેલ છે કે વપરાશકર્તા આધાર પરથી પ્લેટફોર્મ ફક્ત પાસવર્ડ-સુરક્ષાના જોખમોથી વાકેફ હોવું જોઈએ.
આ વપરાશકર્તાઓને ઉચ્ચ લઘુત્તમ ધોરણ તરફ નિર્દેશિત કરીને એકાઉન્ટ પ્રોટેક્શન, GitHub સમગ્ર સુરક્ષાને મજબૂત કરવાની આશા છે સમગ્ર સોફ્ટવેર ડેવલપમેન્ટ સમુદાયના.
“નવેમ્બર 2021 માં, GitHub એ 2FA સક્ષમ કર્યા વિના ડેવલપર એકાઉન્ટ્સના સમાધાનના પરિણામે npm પેકેજોના સંપાદન પછી npm એકાઉન્ટ સુરક્ષામાં નવા રોકાણો માટે પ્રતિબદ્ધ છે. અમે npm એકાઉન્ટ સિક્યોરિટીમાં સુધારા કરવાનું ચાલુ રાખીએ છીએ અને GitHub દ્વારા ડેવલપર એકાઉન્ટ્સનું રક્ષણ કરવા માટે પણ પ્રતિબદ્ધ છીએ.
"મોટાભાગના સુરક્ષા ભંગ એ વિદેશી શૂન્ય-દિવસના હુમલાનું ઉત્પાદન નથી, પરંતુ તેના બદલે ઓછા ખર્ચના હુમલાઓ જેમ કે સોશિયલ એન્જિનિયરિંગ, ઓળખપત્રની ચોરી અથવા લીક અને અન્ય માર્ગો સામેલ છે જે હુમલાખોરોને પીડિતોના એકાઉન્ટ્સ અને સંસાધનોની વિશાળ શ્રેણીની ઍક્સેસ આપે છે. તેઓ વાપરે છે. ની ઍક્સેસ ધરાવે છે. ચેડા થયેલા એકાઉન્ટનો ઉપયોગ ખાનગી કોડની ચોરી કરવા અથવા તે કોડમાં દૂષિત ફેરફારો કરવા માટે થઈ શકે છે. આ માત્ર ચેડા થયેલા એકાઉન્ટ્સ સાથે સંકળાયેલા લોકો અને સંસ્થાઓને જ નહીં, પરંતુ અસરગ્રસ્ત કોડના તમામ વપરાશકર્તાઓને પણ જાહેર કરે છે. પરિણામે, વ્યાપક સોફ્ટવેર ઇકોસિસ્ટમ અને સપ્લાય ચેઇન પર ડાઉનસ્ટ્રીમ અસરની સંભાવના નોંધપાત્ર છે.
એક પ્રયોગ પહેલેથી જ થઈ ગયો છે GitHub પ્લેટફોર્મ વપરાશકર્તાઓના સબસેટના અપૂર્ણાંક સાથે પહેલાથી જ નાના સબસેટ સાથે 2FA ના ઉપયોગની આવશ્યકતા માટે એક દાખલો સેટ કર્યો છે પ્લેટફોર્મ વપરાશકર્તાઓની, એનપીએમ પેકેજ મેનેજમેન્ટ સોફ્ટવેર સાથે વિતરિત લોકપ્રિય જાવાસ્ક્રિપ્ટ લાઇબ્રેરીઓમાં ફાળો આપનારાઓ સાથે તેનું પરીક્ષણ કર્યું છે.
વ્યાપકપણે ઉપયોગમાં લેવાતા npm પેકેજો દર અઠવાડિયે લાખો વખત ડાઉનલોડ કરી શકાય છે, તે માલવેર ઓપરેટરો માટે ખૂબ જ આકર્ષક લક્ષ્ય છે. કેટલાક કિસ્સાઓમાં, હેકર્સે npm ફાળો આપનારાઓના એકાઉન્ટ સાથે ચેડા કર્યા હતા અને પાસવર્ડ ચોરનારાઓ અને ક્રિપ્ટોમાઇનર્સ દ્વારા ઇન્સ્ટોલ કરેલા સૉફ્ટવેર અપડેટ્સ રિલીઝ કરવા માટે તેનો ઉપયોગ કર્યો હતો.
તેના જવાબમાં, GitHub એ ફેબ્રુઆરી 100 થી ટોચના 2022 npm પેકેજોના જાળવણી કરનારાઓ માટે બે-પરિબળ પ્રમાણીકરણ ફરજિયાત બનાવ્યું છે. કંપની મેના અંત સુધીમાં ટોચના 500 પેકેજોના ફાળો આપનારાઓ માટે સમાન જરૂરિયાતોને વિસ્તારવાની યોજના ધરાવે છે.
સામાન્ય શબ્દોમાં, આનો અર્થ છે 2FA નો ઉપયોગ ફરજિયાત બનાવવા માટે લાંબી સમયમર્યાદા નક્કી કરવી સમગ્ર સાઇટ પર અને 2024ની સમયમર્યાદા પહેલા વપરાશકર્તાઓને દત્તક લેવા તરફ દોરવા માટે વિવિધ ઓનબોર્ડિંગ પ્રવાહોની રચના કરો, હેનલીએ જણાવ્યું હતું.
ઓપન સોર્સ સોફ્ટવેરને સુરક્ષિત કરવું એ સોફ્ટવેર ઉદ્યોગ માટે ચિંતાનો વિષય છે, ખાસ કરીને ગયા વર્ષની log4j નબળાઈ પછી. પરંતુ જ્યારે GitHub ની નવી નીતિ કેટલાક જોખમોને ઘટાડશે, પ્રણાલીગત પડકારો રહે છે: ઘણા ઓપન સોર્સ સોફ્ટવેર પ્રોજેક્ટ્સ હજુ પણ અવેતન સ્વયંસેવકો દ્વારા જાળવવામાં આવે છે, અને ભંડોળના તફાવતને બંધ કરવાને સમગ્ર ટેક ઉદ્યોગ માટે એક મુખ્ય સમસ્યા તરીકે જોવામાં આવે છે.
છેલ્લે જો તમને તેના વિશે વધુ જાણવામાં રસ છે, તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં