Već nekoliko mjeseci komentirali smo nekoliko publikacija što radimo u vezi strsigurnosni problemi koji su se pojavili u GitHubu i o mjerama koje su planirali integrirati u platformu kako bi se u većoj mjeri mogli suprotstaviti sigurnosnim prazninama koje su hakeri iskoristili za pristup repozitorijumima projekata.
A sada trenutno, GitHub je otkrio da će to zahtijevati da svi korisnici koji doprinose kodu platformi omogućiti jedan ili više oblika dvofaktorske provjere autentičnosti (2FA).
“GitHub je ovdje u jedinstvenoj poziciji, jednostavno zato što velika većina zajednica otvorenog koda i kreatora živi na GitHub.com, možemo značajno pozitivno utjecati na sigurnost globalnog ekosustava podizanjem letvice za higijenu informacija. sigurnost ”, rekao je Mike Hanley, glavni službenik za sigurnost (CSO) GitHuba. “Vjerujemo da je ovo uistinu jedna od najboljih pogodnosti za cijeli ekosustav koje možemo ponuditi, i predani smo osiguravanju da se svi izazovi ili prepreke prevladaju kako bismo osigurali uspješno usvajanje. »
GitHub je najavio da će svi korisnici koji učitavaju kod na stranicu morati omogućiti jedan ili više oblika dvosmjerne dvofaktorske autentifikacije (2FA) do kraja 2023. kako bi nastavili koristiti platformu.
Nova politika objavljena je u postu na blogu od strane GitHubovog glavnog sigurnosnog direktora (CSO) Mikea Hanleya, koji je istaknuo ulogu Microsoftove vlasničke platforme u zaštiti integriteta procesa razvoja softvera od prijetnji koje stvaraju zlonamjerni akteri koji preuzimaju kontrolu. računa programera.
Naravno, u obzir se uzima i korisničko iskustvo programera, a Mike Hanley naglašava da vam ovaj zahtjev neće naštetiti:
“GitHub je predan osiguravanju da jaka sigurnost računa ne dolazi nauštrb izvrsnog iskustva programera, a naš cilj za kraj 2023. daje nam priliku da optimiziramo za to. Kako se standardi razvijaju, nastavit ćemo aktivno istraživati nove načine sigurne provjere autentičnosti korisnika, uključujući autentifikaciju bez lozinke. Razvojni programeri diljem svijeta mogu se veseliti više opcija za autentifikaciju i oporavak računa, kao i
Iako višefaktorska autentifikacija nudi dodatnu zaštitu značajno za online račune, Interno istraživanje GitHuba pokazuje da samo 16,5% aktivnih korisnika (otprilike jedan od šest) trenutno omogućuju pojačane sigurnosne mjere na njihovim računima, iznenađujuće nizak broj s obzirom na to da platforma iz baze korisnika mora biti svjesna rizika zaštite samo lozinkom.
Usmjeravanjem ovih korisnika na viši minimalni standard zaštita računa, GitHub nada da će ojačati ukupnu sigurnost zajednice za razvoj softvera u cjelini.
“U studenom 2021. GitHub se obvezao na nova ulaganja u sigurnost npm računa nakon akvizicije npm paketa kao rezultat kompromitiranja računa razvojnih programera bez omogućene 2FA. Nastavljamo poboljšavati sigurnost npm računa i također smo predani zaštiti računa razvojnih programera putem GitHuba.
“Većina kršenja sigurnosti nije proizvod egzotičnih napada nulti dana, već uključuje jeftine napade poput društvenog inženjeringa, krađe vjerodajnica ili curenja podataka i drugih načina koji napadačima daju širok raspon pristupa računima žrtava i resursima oni koriste. imati pristup. Kompromitirani računi mogu se koristiti za krađu privatnog koda ili zlonamjerne izmjene tog koda. To ne otkriva samo ljude i organizacije povezane s ugroženim računima, već i sve korisnike zahvaćenog koda. Kao rezultat toga, potencijal za daljnji utjecaj na širi softverski ekosustav i lanac opskrbe je značajan.
Eksperiment je već napravljen s djelićem podskupa korisnika GitHub platforme već je postavio presedan za zahtijevanje upotrebe 2FA s manjim podskupom korisnika platforme, nakon što su ga testirali sa suradnicima popularnih JavaScript biblioteka distribuiranih s npm softverom za upravljanje paketima.
Budući da se široko korišteni npm paketi mogu preuzeti milijune puta tjedno, vrlo su atraktivna meta za operatere zlonamjernog softvera. U nekim slučajevima, hakeri su kompromitirali račune npm suradnika i upotrijebili ih za izdavanje ažuriranja softvera koja su instalirali kradljivači lozinki i rudari kriptovaluta.
Kao odgovor, GitHub je od veljače 100. od veljače 2022. učinio dvofaktorsku provjeru autentičnosti obveznom za održavatelje najboljih 500 npm paketa. Tvrtka planira proširiti iste zahtjeve na suradnike najboljih XNUMX paketa do kraja svibnja.
Općenito govoreći, to znači određivanje dugog roka kako bi korištenje 2FA postalo obvezno na web-mjestu i dizajnirati različite tijekove onboardinga kako bi korisnike potaknuli na usvajanje znatno prije roka 2024., rekao je Hanley.
Osiguravanje softvera otvorenog koda ostaje goruća briga za softversku industriju, posebno nakon prošlogodišnje ranjivosti log4j. No, dok će nova politika GitHuba ublažiti neke prijetnje, sistemski izazovi ostaju: mnoge softverske projekte otvorenog koda i dalje održavaju neplaćeni volonteri, a zatvaranje jaza u financiranju smatra se glavnim problemom za tehnološku industriju u cjelini.
Konačno ako vas zanima više o tome, možete provjeriti detalje U sljedećem linku.