지금 몇 개월 동안 우리는 여러 출판물에 대해 논평했습니다 우리는 p에 대해 무엇을보안 문제 GitHub에서 발생한 문제와 해커가 프로젝트 리포지토리에 액세스하기 위해 이용했던 보안 격차에 더 많이 대응할 수 있도록 플랫폼에 통합하기로 계획했던 조치에 대해 설명합니다.
그리고 지금 현재, GitHub는 다음이 필요하다고 밝혔습니다. 플랫폼에 코드를 기여하는 모든 사용자는 하나 이상의 2단계 인증(XNUMXFA) 형식을 활성화합니다.
“GitHub는 여기에서 독특한 위치에 있습니다. 단순히 대다수의 오픈 소스 커뮤니티와 제작자가 GitHub.com에 살고 있기 때문에 정보 위생에 대한 기준을 높임으로써 글로벌 생태계의 보안에 상당한 긍정적인 영향을 미칠 수 있습니다. "라고 GitHub의 최고 보안 책임자(CSO)인 Mike Hanley가 말했습니다. “우리는 이것이 진정으로 우리가 제공할 수 있는 최고의 생태계 전체 혜택 중 하나라고 믿으며 성공적인 채택을 보장하기 위해 모든 도전이나 장애물을 극복하기 위해 최선을 다하고 있습니다. »
GitHub는 사이트에 코드를 업로드하는 모든 사용자가 플랫폼을 계속 사용하려면 2년 말까지 하나 이상의 양방향 2023단계 인증(XNUMXFA) 형식을 활성화해야 한다고 발표했습니다.
새로운 정책은 블로그 게시물에서 발표되었습니다. GitHub CSO(최고 보안 책임자) Mike Hanley는 제어권을 장악한 악의적인 행위자가 만든 위협으로부터 소프트웨어 개발 프로세스의 무결성을 보호하는 데 있어 Microsoft의 독점 플랫폼의 역할을 강조했습니다. 개발자 계정의.
물론 개발자의 사용자 경험도 고려되며 Mike Hanley는 이 요구 사항이 당신을 해치지 않을 것이라고 강조합니다.
“GitHub는 강력한 계정 보안이 훌륭한 개발자 경험을 희생시키지 않도록 하기 위해 최선을 다하고 있으며 2023년 말 목표는 이를 위해 최적화할 수 있는 기회를 제공합니다. 표준이 발전함에 따라 암호 없는 인증을 포함하여 사용자를 안전하게 인증하는 새로운 방법을 적극적으로 모색할 것입니다. 전 세계의 개발자는 더 많은 인증 및 계정 복구 옵션을 기대할 수 있을 뿐만 아니라
다단계 인증은 추가 보호 기능을 제공하지만 온라인 계정에 중요한 GitHub의 내부 조사에 따르면 활성 사용자의 16,5%만이 (XNUMX분의 XNUMX 정도) 현재 강화된 보안 조치 활성화 사용자 기반의 플랫폼이 암호 전용 보호의 위험을 인식해야 한다는 점을 감안할 때 계정에서 놀라울 정도로 낮은 숫자입니다.
이러한 사용자를 더 높은 최소 표준으로 안내하여 계정 보호, GitHub 전반적인 보안을 강화하기를 희망합니다 소프트웨어 개발 커뮤니티 전체의
“2021년 2월, GitHub는 XNUMXFA가 활성화되지 않은 개발자 계정의 손상으로 인해 npm 패키지를 인수한 후 npm 계정 보안에 대한 새로운 투자를 약속했습니다. 우리는 npm 계정 보안을 지속적으로 개선하고 있으며 GitHub를 통해 개발자 계정을 보호하기 위해 최선을 다하고 있습니다.
“대부분의 보안 침해는 특이한 제로 데이 공격의 산물이 아니라 사회 공학, 자격 증명 도용 또는 유출과 같은 저비용 공격과 공격자에게 피해자 계정 및 리소스에 대한 광범위한 액세스 권한을 제공하는 기타 방법을 포함합니다. 그들은 사용합니다. 에 액세스할 수 있습니다. 손상된 계정은 개인 코드를 훔치거나 해당 코드를 악의적으로 변경하는 데 사용될 수 있습니다. 이것은 손상된 계정과 관련된 사람과 조직뿐만 아니라 영향을 받는 코드의 모든 사용자를 노출시킵니다. 결과적으로 더 광범위한 소프트웨어 생태계와 공급망에 대한 다운스트림 영향의 잠재력은 상당합니다.
이미 완료된 실험 GitHub 플랫폼 사용자의 일부로 더 작은 하위 집합과 함께 2FA 사용을 요구하는 선례를 이미 설정했습니다. npm 패키지 관리 소프트웨어와 함께 배포되는 인기 있는 JavaScript 라이브러리의 기여자들과 함께 테스트한 플랫폼 사용자의 비율입니다.
널리 사용되는 npm 패키지는 일주일에 수백만 번 다운로드할 수 있으므로 맬웨어 운영자에게 매우 매력적인 대상입니다. 어떤 경우에는 해커가 npm 기여자의 계정을 손상시키고 이를 사용하여 암호 도용자와 크립토마이너가 설치한 소프트웨어 업데이트를 릴리스했습니다.
이에 대한 대응으로 GitHub는 100년 2022월부터 상위 500개 npm 패키지의 유지 관리자에게 이중 요소 인증을 의무화했습니다. 회사는 동일한 요구 사항을 XNUMX월 말까지 상위 XNUMX개 패키지의 기여자에게 확장할 계획입니다.
일반적으로 이는 2FA 사용을 의무화하기 위해 긴 기한을 설정하는 것을 의미합니다. Hanley는 사이트 전반에 걸쳐 다양한 온보딩 흐름을 설계하여 2024년 마감일 전에 사용자를 채택하도록 유도한다고 말했습니다.
오픈 소스 소프트웨어의 보안은 특히 작년 log4j 취약점 이후 소프트웨어 업계의 시급한 관심사로 남아 있습니다. 그러나 GitHub의 새로운 정책은 일부 위협을 완화할 것이지만 시스템 문제는 여전히 남아 있습니다. 많은 오픈 소스 소프트웨어 프로젝트가 여전히 무급 자원 봉사자에 의해 유지되고 자금 격차를 줄이는 것이 기술 산업 전체의 주요 문제로 간주됩니다.
최종적으로 그것에 대해 더 많이 알고 싶다면, 당신은 세부 사항을 확인할 수 있습니다 다음 링크에서.