GitHub को अब उन सभी उपयोगकर्ताओं की आवश्यकता होगी जो 2 के अंत तक FA2023 का उपयोग करने के लिए कोड का योगदान करते हैं

गिटहब लोगो

कई महीनों से हमने कई प्रकाशनों पर टिप्पणी की थी हम पी के बारे में क्या करते हैंसुरक्षा समस्या जो गिटहब में उत्पन्न हुए हैं और उन उपायों के बारे में जिन्हें उन्होंने प्लेटफॉर्म में एकीकृत करने की योजना बनाई थी ताकि वे सुरक्षा अंतराल का अधिक से अधिक मुकाबला कर सकें, जिसका फायदा हैकर्स ने प्रोजेक्ट रिपॉजिटरी तक पहुंचने के लिए उठाया।

और अब वर्तमान में, गिटहब ने खुलासा किया कि इसकी आवश्यकता होगी कि सभी उपयोगकर्ता जो प्लेटफॉर्म पर कोड का योगदान करते हैं दो-कारक प्रमाणीकरण (2FA) के एक या अधिक रूपों को सक्षम करें।

"गिटहब यहां एक अनूठी स्थिति में है, क्योंकि खुले स्रोत समुदायों और रचनाकारों के विशाल बहुमत GitHub.com पर रहते हैं, हम सूचना स्वच्छता के लिए बार बढ़ाकर वैश्विक पारिस्थितिकी तंत्र की सुरक्षा पर एक महत्वपूर्ण सकारात्मक प्रभाव डाल सकते हैं। सुरक्षा। गिटहब के मुख्य सुरक्षा अधिकारी (सीएसओ) माइक हैनली ने कहा। "हम मानते हैं कि यह वास्तव में सर्वोत्तम पारिस्थितिक तंत्र-व्यापी लाभों में से एक है जो हम प्रदान कर सकते हैं, और हम यह सुनिश्चित करने के लिए प्रतिबद्ध हैं कि सफल अपनाने को सुनिश्चित करने के लिए किसी भी चुनौती या बाधाओं को दूर किया जाए। »

GitHub ने घोषणा की है कि साइट पर कोड अपलोड करने वाले सभी उपयोगकर्ताओं को प्लेटफॉर्म का उपयोग जारी रखने के लिए 2 के अंत तक टू-वे टू-फैक्टर ऑथेंटिकेशन (2023FA) के एक या अधिक रूपों को सक्षम करने की आवश्यकता होगी।

एक ब्लॉग पोस्ट में नई नीति की घोषणा की गई  GitHub के मुख्य सुरक्षा अधिकारी (CSO) माइक हैनली द्वारा, जिन्होंने नियंत्रण लेने वाले दुर्भावनापूर्ण अभिनेताओं द्वारा बनाए गए खतरों से सॉफ़्टवेयर विकास प्रक्रिया की अखंडता की रक्षा करने में Microsoft के स्वामित्व वाले प्लेटफ़ॉर्म की भूमिका पर प्रकाश डाला। डेवलपर खातों की।

बेशक, डेवलपर के उपयोगकर्ता अनुभव को भी ध्यान में रखा जाता है, और माइक हैनली इस बात पर जोर देते हैं कि यह आवश्यकता आपको नुकसान नहीं पहुंचाएगी:

"GitHub यह सुनिश्चित करने के लिए प्रतिबद्ध है कि मजबूत खाता सुरक्षा एक महान डेवलपर अनुभव की कीमत पर नहीं आती है, और हमारा 2023 के अंत का लक्ष्य हमें इसके लिए अनुकूलित करने का अवसर देता है। जैसे-जैसे मानक विकसित होते हैं, हम पासवर्ड रहित प्रमाणीकरण सहित उपयोगकर्ताओं को सुरक्षित रूप से प्रमाणित करने के नए तरीकों का सक्रिय रूप से पता लगाना जारी रखेंगे। दुनिया भर के डेवलपर अधिक प्रमाणीकरण और खाता पुनर्प्राप्ति विकल्पों की आशा कर सकते हैं, साथ ही

हालांकि बहु-कारक प्रमाणीकरण अतिरिक्त सुरक्षा प्रदान करता है ऑनलाइन खातों के लिए महत्वपूर्ण, GitHub के आंतरिक शोध से पता चलता है कि केवल 16,5% सक्रिय उपयोगकर्ता (छह में से एक के बारे में) वर्तमान में उन्नत सुरक्षा उपायों को सक्षम करें उनके खातों में, आश्चर्यजनक रूप से कम संख्या दी गई है कि उपयोगकर्ता आधार से प्लेटफ़ॉर्म को केवल पासवर्ड सुरक्षा के जोखिमों के बारे में पता होना चाहिए।

इन उपयोगकर्ताओं को उच्च न्यूनतम मानक पर निर्देशित करके खाता सुरक्षा, GitHub समग्र सुरक्षा को मजबूत करने की उम्मीद समग्र रूप से सॉफ्टवेयर विकास समुदाय का।

"नवंबर 2021 में, गिटहब ने 2FA सक्षम किए बिना डेवलपर खातों के समझौते के परिणामस्वरूप npm पैकेजों के अधिग्रहण के बाद npm खाता सुरक्षा में नए निवेश के लिए प्रतिबद्ध किया। हम npm खाता सुरक्षा में सुधार करना जारी रखते हैं और GitHub के माध्यम से डेवलपर खातों की सुरक्षा के लिए भी प्रतिबद्ध हैं।

"अधिकांश सुरक्षा उल्लंघन विदेशी शून्य-दिन के हमलों का उत्पाद नहीं हैं, बल्कि इसके बजाय कम लागत वाले हमले जैसे सोशल इंजीनियरिंग, क्रेडेंशियल चोरी या लीक, और अन्य रास्ते शामिल हैं जो हमलावरों को पीड़ितों के खातों और संसाधनों तक पहुंच की एक विस्तृत श्रृंखला प्रदान करते हैं। वे उपयोग करते हैं। की पहुंच है। निजी कोड चुराने या उस कोड में दुर्भावनापूर्ण परिवर्तन करने के लिए समझौता किए गए खातों का उपयोग किया जा सकता है। यह न केवल छेड़छाड़ किए गए खातों से जुड़े लोगों और संगठनों को उजागर करता है, बल्कि प्रभावित कोड के सभी उपयोगकर्ताओं को भी उजागर करता है। नतीजतन, व्यापक सॉफ्टवेयर पारिस्थितिकी तंत्र और आपूर्ति श्रृंखला पर डाउनस्ट्रीम प्रभाव की संभावना पर्याप्त है।

एक प्रयोग पहले ही हो चुका है GitHub प्लेटफ़ॉर्म उपयोगकर्ताओं के सबसेट के एक अंश के साथ पहले से ही एक छोटे उपसमुच्चय के साथ 2FA के उपयोग की आवश्यकता के लिए एक मिसाल कायम की है प्लेटफ़ॉर्म उपयोगकर्ताओं के, npm पैकेज प्रबंधन सॉफ़्टवेयर के साथ वितरित लोकप्रिय जावास्क्रिप्ट पुस्तकालयों के योगदानकर्ताओं के साथ इसका परीक्षण किया।

चूंकि व्यापक रूप से उपयोग किए जाने वाले npm पैकेज प्रति सप्ताह लाखों बार डाउनलोड किए जा सकते हैं, वे मैलवेयर ऑपरेटरों के लिए एक बहुत ही आकर्षक लक्ष्य हैं। कुछ मामलों में, हैकर्स ने npm योगदानकर्ताओं के खातों से समझौता किया और उनका उपयोग सॉफ़्टवेयर अपडेट जारी करने के लिए किया जो पासवर्ड चोरी करने वालों और क्रिप्टो खनिकों द्वारा स्थापित किए गए थे।

जवाब में, GitHub ने फरवरी 100 से शीर्ष 2022 npm पैकेजों के अनुरक्षकों के लिए दो-कारक प्रमाणीकरण अनिवार्य कर दिया है। कंपनी की योजना मई के अंत तक शीर्ष 500 पैकेजों के योगदानकर्ताओं के लिए समान आवश्यकताओं का विस्तार करने की है।

सामान्य शब्दों में, इसका मतलब है कि 2FA के उपयोग को अनिवार्य बनाने के लिए एक लंबी समय सीमा निर्धारित करना हेनले ने कहा कि साइट पर और 2024 की समय सीमा से पहले उपयोगकर्ताओं को गोद लेने की ओर ले जाने के लिए विभिन्न प्रकार के ऑनबोर्डिंग प्रवाह को डिज़ाइन करें।

ओपन सोर्स सॉफ्टवेयर को सुरक्षित करना सॉफ्टवेयर उद्योग के लिए एक गंभीर चिंता का विषय बना हुआ है, खासकर पिछले साल की log4j भेद्यता के बाद। लेकिन जब GitHub की नई नीति कुछ खतरों को कम करेगी, प्रणालीगत चुनौतियां बनी हुई हैं: कई ओपन सोर्स सॉफ्टवेयर प्रोजेक्ट अभी भी अवैतनिक स्वयंसेवकों द्वारा बनाए रखा जाता है, और फंडिंग गैप को बंद करना समग्र रूप से टेक उद्योग के लिए एक प्रमुख मुद्दे के रूप में देखा जाता है।

अंत में यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं, आप विवरण की जांच कर सकते हैं निम्नलिखित लिंक में


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।