Már több hónapja több publikációt is kommentáltunk mit csinálunk a pbiztonsági problémák amelyek a GitHubon merültek fel, és azokról az intézkedésekről, amelyeket a platformba integrálni terveztek, hogy nagyobb mértékben tudjanak ellensúlyozni azokat a biztonsági hiányosságokat, amelyeket a hackerek kihasználtak a projekttárolókhoz való hozzáférés során.
És most jelenleg, A GitHub közölte, hogy szükség lesz rá hogy minden felhasználó, aki kódot ad a platformhoz lehetővé teszi a kéttényezős hitelesítés (2FA) egy vagy több formáját.
„A GitHub egyedülálló helyzetben van itt, pusztán azért, mert a nyílt forráskódú közösségek és alkotók túlnyomó többsége a GitHub.com-on él, jelentős pozitív hatást gyakorolhatunk a globális ökoszisztéma biztonságára azáltal, hogy emeljük az információhigiénia lécét. ” – mondta Mike Hanley, a GitHub biztonsági igazgatója (CSO). „Úgy gondoljuk, hogy ez valóban az egyik legjobb ökoszisztéma-szintű előny, amit kínálhatunk, és elkötelezettek vagyunk amellett, hogy minden kihívást és akadályt leküzdjünk a sikeres bevezetés érdekében. »
A GitHub bejelentette, hogy az oldalra kódot feltöltő összes felhasználónak 2 végéig engedélyeznie kell a kétirányú kéttényezős hitelesítés (2023FA) egy vagy több formáját a platform használatának folytatásához.
Az új szabályzatot egy blogbejegyzésben jelentették be Mike Hanley, a GitHub biztonsági igazgatója (CSO), aki kiemelte a Microsoft szabadalmaztatott platformjának szerepét a szoftverfejlesztési folyamat integritásának megvédésében az irányítást átvevő rosszindulatú szereplők által keltett fenyegetésekkel szemben. fejlesztői fiókok közül.
Természetesen a fejlesztő felhasználói élményét is figyelembe veszik, és Mike Hanley hangsúlyozza, hogy ez a követelmény nem árt Önnek:
„A GitHub elkötelezett amellett, hogy biztosítsa, hogy az erős fiókbiztonság ne menjen a nagyszerű fejlesztői élmény rovására, és 2023 végi célunk lehetőséget ad arra, hogy erre optimalizáljunk. A szabványok fejlődésével továbbra is aktívan kutatjuk a felhasználók biztonságos hitelesítésének új módjait, beleértve a jelszó nélküli hitelesítést is. A fejlesztők világszerte további hitelesítési és fiók-helyreállítási lehetőségekre számíthatnak, valamint
Bár a többtényezős hitelesítés további védelmet nyújt jelentős az online fiókok számára, A GitHub belső kutatása azt mutatja, hogy az aktív felhasználóknak csak 16,5%-a (körülbelül minden hatodik) jelenleg fokozott biztonsági intézkedéseket tesz lehetővé fiókjaikban meglepően alacsony szám, tekintve, hogy a felhasználói körből a platformnak tisztában kell lennie a csak jelszavas védelem kockázataival.
Ezeket a felhasználókat magasabb minimumszabvány felé irányítva fiókvédelem, GitHub az általános biztonság megerősítését reméli a szoftverfejlesztő közösség egészének.
„2021 novemberében a GitHub elkötelezte magát az npm-fiókok biztonságába való új befektetések mellett, miután az npm-csomagokat megvásárolta a 2FA nélküli fejlesztői fiókok kompromittálódása következtében. Továbbra is fejlesztjük az npm-fiókok biztonságát, és elkötelezettek vagyunk a fejlesztői fiókok GitHubon keresztüli védelme mellett.
„A legtöbb biztonsági incidens nem egzotikus nulladik napi támadások eredménye, hanem olyan olcsó támadásokat foglal magában, mint például a szociális manipuláció, a hitelesítő adatok ellopása vagy kiszivárogtatása, és más utakat, amelyek széles körű hozzáférést biztosítanak a támadóknak az áldozatok fiókjaihoz és az erőforrásokhoz. használják. hozzáférése van. A feltört fiókok felhasználhatók privát kód ellopására vagy a kód rosszindulatú módosítására. Ez nemcsak a feltört fiókokhoz kapcsolódó személyeket és szervezeteket fedi fel, hanem az érintett kód összes felhasználóját is. Ennek eredményeként jelentős a potenciális downstream hatás a szélesebb szoftver-ökoszisztémára és az ellátási láncra.
Egy kísérlet már megtörtént a GitHub platform felhasználóinak egy részhalmazának töredékével már precedenst teremtett a 2FA használatának előírására egy kisebb részhalmazzal platform felhasználói, miután tesztelték az npm csomagkezelő szoftverrel terjesztett népszerű JavaScript-könyvtárak közreműködőivel.
Mivel a széles körben használt npm csomagokat hetente milliószor lehet letölteni, nagyon vonzó célpontot jelentenek a rosszindulatú programok üzemeltetői számára. Egyes esetekben a hackerek feltörték az npm-közreműködők fiókjait, és felhasználták azokat a jelszólopók és kriptobányászok által telepített szoftverfrissítések kiadására.
Válaszul a GitHub 100 februárja óta kötelezővé tette a kéttényezős hitelesítést a 2022 legnagyobb sebességű npm-es csomagok karbantartói számára. A vállalat azt tervezi, hogy május végéig kiterjeszti ugyanezeket a követelményeket a legjobb 500 csomag közreműködőire is.
Általános értelemben: ez azt jelenti, hogy hosszú határidőt kell kitűzni a 2FA használatának kötelezővé tételére Hanley szerint az egész webhelyen, és különféle bevezetési folyamatokat tervezzenek, hogy a felhasználókat jóval a 2024-es határidő előtt az elfogadás felé tereljék.
A nyílt forráskódú szoftverek biztonságossá tétele továbbra is sürgető probléma a szoftveripar számára, különösen a tavalyi log4j sebezhetőség után. Bár a GitHub új politikája enyhíteni fog bizonyos fenyegetéseket, a rendszerszintű kihívások továbbra is fennállnak: Sok nyílt forráskódú szoftverprojektet továbbra is fizetetlen önkéntesek tartanak fenn, és a finanszírozási hiány megszüntetését a technológiai ipar egésze számára komoly problémának tekintik.
Végül ha érdekel, hogy többet tudjon meg róla, ellenőrizheti a részleteket A következő linken.