GitHub енді кодты қосқан барлық пайдаланушылардан 2 жылдың соңына дейін FA2023 пайдалануды талап етеді

GitHub логотипі

Бірнеше ай бойы бірнеше жарияланымдарға пікір білдірдік б туралы не істеймізқауіпсіздік мәселелері GitHub-та пайда болған және хакерлер жоба репозитарийлеріне қол жеткізу үшін пайдаланған қауіпсіздік олқылықтарына үлкен дәрежеде қарсы тұру үшін платформаға біріктіруді жоспарлаған шаралар туралы.

Ал қазір қазіргі уақытта, GitHub бұл талап ететінін ашты платформаға кодты қосатын барлық пайдаланушылар екі факторлы аутентификацияның (2FA) бір немесе бірнеше нысандарын қосыңыз.

«GitHub бұл жерде бірегей позицияда, өйткені ашық бастапқы және автор қауымдастықтарының басым көпшілігі GitHub.com сайтында тұрады, біз GitHub гигиенасы үшін жолақты көтеру арқылы жаһандық экожүйенің қауіпсіздігіне айтарлықтай оң әсер ете аламыз. қауіпсіздік », - деді Майк Ханли, GitHub бас қауіпсіздік офицері (CSO). «Біз бұл шынымен де біз ұсына алатын экожүйедегі ең жақсы артықшылықтардың бірі деп есептейміз және бала асырап алуды сәтті қамтамасыз ету үшін кез келген қиындықтарды немесе кедергілерді еңсеруді қамтамасыз етуге дайынбыз. »

GitHub сайтқа код жүктеп салатын барлық пайдаланушылар платформаны пайдалануды жалғастыру үшін 2 жылдың соңына дейін екі жақты екі факторлы аутентификацияның (2023FA) бір немесе бірнеше нысандарын қосуы қажет екенін жариялады.

Жаңа саясат блог жазбасында жарияланды  GitHub қауіпсіздік жөніндегі бас директоры (CSO) Майк Ханли, ол бағдарламалық жасақтаманы әзірлеу процесінің тұтастығын бақылауға алатын зиянды әрекеттер жасаған қауіптерден қорғаудағы Microsoft корпорациясының меншікті платформасының рөлін атап өтті. әзірлеуші ​​шоттары.

Әрине, әзірлеушінің пайдаланушы тәжірибесі де ескеріледі және Майк Ханли бұл талап сізге зиян тигізбейтінін атап өтеді:

«GitHub тіркелгінің күшті қауіпсіздігі әзірлеушілердің тамаша тәжірибесі есебінен келмейтінін қамтамасыз етуге міндеттенеді және 2023 жылға дейінгі мақсатымыз бізге бұл үшін оңтайландыру мүмкіндігін береді. Стандарттар дамып келе жатқанда, біз құпия сөзсіз аутентификацияны қоса, пайдаланушыларды қауіпсіз аутентификациялаудың жаңа жолдарын белсенді түрде зерттеуді жалғастырамыз. Дүние жүзіндегі әзірлеушілер аутентификацияның және есептік жазбаны қалпына келтірудің қосымша опцияларын, сондай-ақ күте алады

Көп факторлы аутентификация қосымша қорғауды ұсынады онлайн тіркелгілер үшін маңызды, GitHub ішкі зерттеулері белсенді қолданушылардың 16,5% ғана екенін көрсетеді (алтыдан бір) қазіргі уақытта күшейтілген қауіпсіздік шараларын қосу пайдаланушы базасындағы платформа тек құпия сөзді қорғаудың қауіптерін білуі керек екенін ескере отырып, олардың есептік жазбаларында таңқаларлық төмен сан.

Бұл пайдаланушыларды жоғарырақ минималды стандартқа бағыттау арқылы тіркелгіні қорғау, GitHub жалпы қауіпсіздікті нығайтуға үміттенеді тұтастай бағдарламалық қамтамасыз етуді әзірлеу қауымдастығы.

«2021 жылдың қарашасында GitHub 2FA қосылмай әзірлеуші ​​тіркелгілерінің бұзылуы нәтижесінде npm пакеттерін сатып алғаннан кейін npm тіркелгісінің қауіпсіздігіне жаңа инвестициялар салуға міндеттенді. Біз npm тіркелгісінің қауіпсіздігін жақсартуды жалғастырамыз, сонымен қатар GitHub арқылы әзірлеуші ​​тіркелгілерін қорғауды ұстанамыз.

«Қауіпсіздікті бұзудың көпшілігі экзотикалық нөлдік күндік шабуылдардың өнімі емес, оның орнына әлеуметтік инженерия, тіркелгі деректерін ұрлау немесе ағып кету сияқты арзан шабуылдарды және шабуылдаушыларға құрбандардың тіркелгілері мен ресурстарына кең мүмкіндік беретін басқа жолдарды қамтиды. олар пайдаланады. рұқсаты бар. Бұзылған тіркелгілерді жеке кодты ұрлау немесе сол кодқа зиянды өзгертулер енгізу үшін пайдалануға болады. Бұл бұзылған тіркелгілермен байланысты адамдар мен ұйымдарды ғана емес, сонымен қатар зардап шеккен кодтың барлық пайдаланушыларын көрсетеді. Нәтижесінде, бағдарламалық қамтамасыз етудің кеңірек экожүйесіне және жеткізу тізбегіне төмен қарай әсер ету әлеуеті айтарлықтай.

Қазірдің өзінде жасалған эксперимент GitHub платформасын пайдаланушылар жиынының бір бөлігімен кішірек жиынмен 2FA пайдалануды талап ету үшін прецедент орнатты платформа пайдаланушыларының саны, оны npm пакетін басқару бағдарламалық құралымен таратылатын танымал JavaScript кітапханаларына үлес қосушылармен сынақтан өткізгеннен кейін.

Кеңінен қолданылатын npm бумаларын аптасына миллиондаған рет жүктеп алуға болатындықтан, олар зиянды бағдарлама операторлары үшін өте тартымды мақсат болып табылады. Кейбір жағдайларда хакерлер npm салымшыларының есептік жазбаларын бұзып, оларды құпия сөзді ұрлаушылар мен криптоминерлер орнатқан бағдарламалық құрал жаңартуларын шығару үшін пайдаланды.

Жауап ретінде GitHub 100 жылдың ақпан айынан бастап ең жақсы 2022 npm пакеттерін қолдаушылар үшін екі факторлы аутентификацияны міндетті етті. Компания мамыр айының соңына дейін ең жақсы 500 пакеттің салымшыларына бірдей талаптарды кеңейтуді жоспарлап отыр.

Жалпы алғанда, бұл 2FA пайдалануды міндетті ету үшін ұзақ мерзім белгілеуді білдіреді сайтта және пайдаланушыларды 2024 жылға дейінгі мерзімге дейін бала асырап алуға итермелеу үшін әртүрлі борттық ағындарды жобалаңыз, деді Ханли.

Ашық бастапқы бағдарламалық қамтамасыз етуді қорғау бағдарламалық қамтамасыз ету индустриясы үшін өзекті мәселе болып қала береді, әсіресе өткен жылғы log4j осалдығынан кейін. Бірақ GitHub-тың жаңа саясаты кейбір қауіп-қатерлерді азайтса да, жүйелік қиындықтар сақталуда: көптеген ашық бастапқы бағдарламалық жасақтама жобаларын әлі де ақысыз еріктілер қолдайды және қаржыландырудағы алшақтықты жабу жалпы технологиялық индустрия үшін басты мәселе ретінде қарастырылады.

Finalmente егер сіз бұл туралы көбірек білгіңіз келсе, сіз мәліметтерді тексере аласыз Келесі сілтемеде.


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.