უკვე რამდენიმე თვეა ჩვენ რამდენიმე პუბლიკაციაზე კომენტარი გავაკეთეთ რას ვაკეთებთ პუსაფრთხოების პრობლემები რომლებიც წარმოიშვა GitHub-ში და იმ ზომების შესახებ, რომლებიც მათ დაგეგმეს პლატფორმაში ინტეგრირება, რათა უფრო მეტად შეეწინააღმდეგებინათ უსაფრთხოების ხარვეზები, რომლებითაც ისარგებლეს ჰაკერებმა პროექტის საცავებში წვდომისთვის.
Და ახლა ამჟამად, GitHub-მა გაამჟღავნა, რომ ამას დასჭირდება რომ ყველა მომხმარებელი, ვინც წვლილს შეიტანს კოდის პლატფორმაში ჩართეთ ორფაქტორიანი ავთენტიფიკაციის ერთი ან მეტი ფორმა (2FA).
„GitHub აქ უნიკალურ მდგომარეობაშია, უბრალოდ იმის გამო, რომ ღია კოდის თემებისა და შემქმნელების დიდი უმრავლესობა ცხოვრობს GitHub.com-ზე, ჩვენ შეგვიძლია მნიშვნელოვანი დადებითი გავლენა მოვახდინოთ გლობალური ეკოსისტემის უსაფრთხოებაზე ინფორმაციის ჰიგიენის ბარის ამაღლებით. უსაფრთხოება. ”, - თქვა მაიკ ჰენლიმ, GitHub-ის უსაფრთხოების მთავარმა ოფიცერმა (CSO). „ჩვენ გვჯერა, რომ ეს ნამდვილად არის ერთ-ერთი საუკეთესო სარგებელი მთელს ეკოსისტემაზე, რაც შეგვიძლია შემოგთავაზოთ, და ჩვენ მზად ვართ უზრუნველვყოთ ნებისმიერი გამოწვევის ან დაბრკოლების გადალახვა წარმატებული მიღების უზრუნველსაყოფად. »
GitHub-მა გამოაცხადა, რომ ყველა მომხმარებელმა, რომელიც ატვირთავს კოდს საიტზე, უნდა ჩართოს ორმხრივი ორფაქტორიანი ავთენტიფიკაციის (2FA) ერთი ან მეტი ფორმა 2023 წლის ბოლომდე, რათა განაგრძონ პლატფორმის გამოყენება.
ახალი პოლიტიკა გამოცხადდა ბლოგპოსტში GitHub-ის უსაფრთხოების მთავარი ოფიცრის (CSO) მაიკ ჰენლის მიერ, რომელმაც ხაზი გაუსვა Microsoft-ის საკუთრების პლატფორმის როლს პროგრამული უზრუნველყოფის განვითარების პროცესის მთლიანობის დაცვაში მავნე აქტორების მიერ კონტროლირებადი საფრთხეებისგან. დეველოპერის ანგარიშებზე.
რა თქმა უნდა, მხედველობაში მიიღება დეველოპერის მომხმარებლის გამოცდილებაც და მაიკ ჰენლი ხაზს უსვამს, რომ ეს მოთხოვნა არ დაგიშავებთ:
„GitHub მოწოდებულია უზრუნველყოს, რომ ანგარიშის ძლიერი უსაფრთხოება არ მოხდეს დეველოპერის შესანიშნავი გამოცდილების ხარჯზე და ჩვენი 2023 წლის ბოლო მიზანი გვაძლევს ამის ოპტიმიზაციის შესაძლებლობას. სტანდარტების განვითარებასთან ერთად, ჩვენ გავაგრძელებთ მომხმარებლების უსაფრთხო ავთენტიფიკაციის ახალი გზების აქტიურ შესწავლას, მათ შორის პაროლის გარეშე ავთენტიფიკაციას. დეველოპერებს მთელს მსოფლიოში შეუძლიათ მოუთმენლად ელოდონ ავთენტიფიკაციისა და ანგარიშის აღდგენის სხვა ვარიანტებს, ასევე
მიუხედავად იმისა, რომ მრავალფაქტორიანი ავთენტიფიკაცია გთავაზობთ დამატებით დაცვას მნიშვნელოვანი ონლაინ ანგარიშებისთვის, GitHub-ის შიდა კვლევა აჩვენებს, რომ აქტიური მომხმარებლების მხოლოდ 16,5%. (დაახლოებით მეექვსედან ერთი) ამჟამად გააქტიურებულია უსაფრთხოების გაძლიერებული ზომები მათ ანგარიშებში, გასაოცრად დაბალი რიცხვია იმის გათვალისწინებით, რომ პლატფორმა მომხმარებლის ბაზიდან უნდა იცოდეს მხოლოდ პაროლით დაცვის რისკების შესახებ.
ამ მომხმარებლების უფრო მაღალ მინიმალურ სტანდარტებზე გადაყვანით ანგარიშის დაცვა, GitHub საერთო უსაფრთხოების გაძლიერების იმედი აქვს პროგრამული უზრუნველყოფის განვითარების საზოგადოების მთლიანობაში.
„2021 წლის ნოემბერში, GitHub-მა აიღო ვალდებულება განახორციელოს ახალი ინვესტიციები npm ანგარიშის უსაფრთხოებაში, npm პაკეტების შეძენის შემდეგ დეველოპერის ანგარიშების კომპრომისის შედეგად, 2FA ჩართულის გარეშე. ჩვენ ვაგრძელებთ npm ანგარიშის უსაფრთხოების გაუმჯობესებას და ასევე მზად ვართ დავიცვათ დეველოპერის ანგარიშები GitHub-ის მეშვეობით.
„უსაფრთხოების დარღვევის უმეტესობა არ არის ეგზოტიკური ნულოვანი დღის შეტევების შედეგი, არამედ მოიცავს დაბალფასიან შეტევებს, როგორიცაა სოციალური ინჟინერია, რწმუნებათა სიგელების ქურდობა ან გაჟონვა და სხვა გზები, რომლებიც თავდამსხმელებს აძლევს მსხვერპლთა ანგარიშებსა და რესურსებზე წვდომის ფართო სპექტრს. ისინი იყენებენ. აქვს წვდომა. გატეხილი ანგარიშები შეიძლება გამოყენებულ იქნას პირადი კოდის მოსაპარად ან ამ კოდში მავნე ცვლილებების შესატანად. ეს ავლენს არა მხოლოდ გატეხილ ანგარიშებთან დაკავშირებულ ადამიანებს და ორგანიზაციებს, არამედ დაზარალებული კოდის ყველა მომხმარებელს. შედეგად, ქვედა დინების ზემოქმედების პოტენციალი უფრო ფართო პროგრამულ ეკოსისტემასა და მიწოდების ჯაჭვზე არსებითია.
ექსპერიმენტი უკვე გაკეთებულია GitHub პლატფორმის მომხმარებლების ქვეჯგუფის ნაწილთან ერთად უკვე შეიქმნა პრეცედენტი, რომ მოითხოვოს 2FA-ს გამოყენება უფრო მცირე ქვეჯგუფით პლატფორმის მომხმარებელთა მიერ, რომლებმაც გამოსცადეს ის პოპულარულ JavaScript ბიბლიოთეკების კონტრიბუტორებთან, რომლებიც განაწილებულია npm პაკეტის მართვის პროგრამული უზრუნველყოფით.
ვინაიდან ფართოდ გამოყენებული npm პაკეტების ჩამოტვირთვა შესაძლებელია კვირაში მილიონჯერ, ისინი ძალიან მიმზიდველი სამიზნეა მავნე პროგრამის ოპერატორებისთვის. ზოგიერთ შემთხვევაში, ჰაკერებმა დაარღვიეს npm კონტრიბუტორების ანგარიშები და გამოიყენეს ისინი პროგრამული უზრუნველყოფის განახლებების გამოსაქვეყნებლად, რომლებიც დაინსტალირებული იყო პაროლის მოპარვისა და კრიპტო მაინერების მიერ.
ამის საპასუხოდ, GitHub-მა 100 წლის თებერვლიდან ტოპ 2022 npm პაკეტების შემსრულებლებისთვის სავალდებულო გახადა ორფაქტორიანი ავტორიზაცია. კომპანია გეგმავს იგივე მოთხოვნების გავრცელებას ტოპ 500 პაკეტის კონტრიბუტორებზე მაისის ბოლოს.
ზოგადად, ეს ნიშნავს ხანგრძლივი ვადის დაწესებას 2FA-ს გამოყენების სავალდებულო გახადისთვის საიტის მასშტაბით და შეიმუშავეთ სხვადასხვა ბორტზე ნაკადები, რათა მომხმარებლები შვილად აყვანისკენ მიისწრაფოდნენ 2024 წლის ბოლო ვადამდე, თქვა ჰენლიმ.
ღია კოდის პროგრამული უზრუნველყოფის დაცვა რჩება პროგრამული უზრუნველყოფის ინდუსტრიის მწვავე პრობლემად, განსაკუთრებით გასული წლის log4j დაუცველობის შემდეგ. მაგრამ მიუხედავად იმისა, რომ GitHub-ის ახალი პოლიტიკა შეამსუბუქებს ზოგიერთ საფრთხეს, სისტემური გამოწვევები რჩება: ბევრი ღია კოდის პროგრამული უზრუნველყოფის პროექტი ჯერ კიდევ ინარჩუნებს გადაუხდელ მოხალისეებს და დაფინანსების უფსკრულის დაფარვა განიხილება, როგორც მთლიანი ტექნიკური ინდუსტრიის მთავარ საკითხად.
საბოლოოდ თუ გაინტერესებთ ამის შესახებ მეტი იცოდეთ, თქვენ შეგიძლიათ შეამოწმოთ დეტალები შემდეგ ბმულზე.
იყავი პირველი კომენტარი