GitHub эми код кошкон бардык колдонуучулардан 2-жылдын аягына чейин FA2023 колдонуусун талап кылат

GitHub логотиби

Бир нече айдан бери бир нече басылмаларга комментарий бергенбиз б жөнүндө эмне кылабызкоопсуздук көйгөйлөрү GitHubда пайда болгон жана хакерлер долбоордун репозиторийлерине кирүү үчүн пайдаланган коопсуздук боштуктарына көбүрөөк каршы туруу үчүн платформага интеграциялоону пландаштырган чаралар жөнүндө.

Ал эми азыр учурда, GitHub муну талап кылаарын ачыктады платформага код кошкон бардык колдонуучулар эки факторлуу аутентификациянын (2FA) бир же бир нече формаларын иштетүү.

"GitHub бул жерде уникалдуу позицияда турат, анткени ачык булактуу жамааттардын жана жаратуучулардын басымдуу көпчүлүгү GitHub.com сайтында жашагандыктан, биз маалымат гигиенасы үчүн тилкесин жогорулатуу менен глобалдык экосистеманын коопсуздугуна олуттуу оң таасирин тийгизе алабыз. ", - деди Майк Ханли, GitHub башкы коопсуздук кызматкери (ЖКУ). «Биз бул чындап эле биз сунуш кыла турган жалпы экосистемадагы эң жакшы артыкчылыктардын бири деп эсептейбиз жана ийгиликтүү асырап алууну камсыз кылуу үчүн ар кандай кыйынчылыктарды же тоскоолдуктарды жеңүүнү камсыз кылууга умтулабыз. »

GitHub сайтка код жүктөп жаткан бардык колдонуучулар платформаны колдонууну улантуу үчүн 2-жылдын аягына чейин эки тараптуу эки факторлуу аутентификациянын (2023FA) бир же бир нече формаларын иштетиши керек деп жарыялады.

Жаңы саясат блог постунда жарыяланды  GitHub коопсуздук боюнча башкы адиси (CSO) Майк Ханли тарабынан, ал Microsoft'тун проприетардык платформасынын программалык камсыздоону иштеп чыгуу процессинин бүтүндүгүн контролдоону колго алган зыяндуу актерлор тарабынан түзүлгөн коркунучтардан коргоодогу ролун баса белгиледи. иштеп чыгуучу эсептеринин.

Албетте, иштеп чыгуучунун колдонуучу тажрыйбасы да эске алынат жана Майк Ханли бул талап сизге зыян келтирбей турганын баса белгилейт:

“GitHub күчтүү эсептин коопсуздугу иштеп чыгуучунун мыкты тажрыйбасынын эсебинен келип чыкпасын камсыз кылууга умтулат жана биздин 2023-жылдын аягындагы максатыбыз бизге бул үчүн оптималдаштыруу мүмкүнчүлүгүн берет. Стандарттар өнүккөн сайын биз колдонуучулардын аутентификациясынын жаңы жолдорун, анын ичинде сырсөзсүз аутентификацияны активдүү изилдөөнү улантабыз. Дүйнө жүзүндөгү иштеп чыгуучулар аутентификациянын жана каттоо эсебин калыбына келтирүүнүн көбүрөөк варианттарын, ошондой эле күтө алышат

Көп факторлуу аутентификация кошумча коргоону сунуш кылат онлайн эсептер үчүн маанилүү, GitHub'дун ички изилдөөлөрү көрсөткөндөй, активдүү колдонуучулардын 16,5% гана (алтыдан бири жөнүндө) учурда күчөтүлгөн коопсуздук чараларын иштетүү колдонуучу базасынын платформасы сырсөз менен гана коргоо тобокелдиктерин билиши керек экенин эске алганда, алардын эсептерине таң калыштуу аз санда.

Бул колдонуучуларды жогорку минималдуу стандартка багыттоо менен эсеп коргоо, GitHub жалпы коопсуздукту чыцдоого умуттенет жалпысынан программалык камсыздоону иштеп чыгуу коомчулугунун.

“2021-жылдын ноябрында GitHub 2FA иштетилбестен иштеп чыгуучунун эсептеринин компромиссинин натыйжасында npm пакеттерин сатып алгандан кийин npm аккаунтунун коопсуздугуна жаңы инвестицияларды тартууга милдеттенген. Биз npm аккаунтунун коопсуздугун жакшыртууну улантуудабыз жана ошондой эле GitHub аркылуу иштеп чыгуучулардын аккаунттарын коргоого умтулабыз.

"Көпчүлүк коопсуздук бузуулар экзотикалык нөл күндүк чабуулдардын натыйжасы эмес, тескерисинче, социалдык инженерия, эсептик маалыматтарды уурдоо же ачыкка чыгаруу сыяктуу арзан чабуулдарды жана чабуулчуларга жабырлануучулардын эсептерине жана ресурстарына кеңири мүмкүнчүлүк берген башка жолдорду камтыйт. алар колдонушат. кирүү мүмкүнчүлүгү бар. Бузулган аккаунттар жеке кодду уурдоо же ал кодго зыяндуу өзгөртүүлөрдү киргизүү үчүн колдонулушу мүмкүн. Бул бузулган аккаунттар менен байланышкан адамдарды жана уюмдарды гана эмес, ошондой эле жабыркаган коддун бардык колдонуучуларын ачыкка чыгарат. Натыйжада, программалык камсыздоонун кеңири экосистемасына жана жеткирүү чынжырына ылдый агымдын таасиринин потенциалы олуттуу.

Буга чейин жасалган эксперимент GitHub платформасынын колдонуучуларынын бир бөлүгү менен 2FA кичирээк бөлүгү менен колдонууну талап кылуу үчүн буга чейин эле прецедент орноткон npm пакетти башкаруу программасы менен бөлүштүрүлгөн популярдуу JavaScript китепканаларынын салымчылары менен сынап көргөн платформа колдонуучуларынын.

Кеңири колдонулган npm пакеттерин жумасына миллиондогон жолу жүктөө мүмкүн болгондуктан, алар кесепеттүү программанын операторлору үчүн абдан жагымдуу максат болуп саналат. Кээ бир учурларда, хакерлер npm салым кошкондордун эсептерин бузуп, аларды сырсөз уурдагандар жана крипто-кенчилер орноткон программалык камсыздоо жаңыртууларын чыгаруу үчүн колдонушкан.

Буга жооп катары, GitHub 100-жылдын февраль айынан баштап эң мыкты 2022 npm пакеттерин тейлөөчүлөрү үчүн эки факторлуу аутентификацияны милдеттүү кылып койду. Компания май айынын аягына чейин эң мыкты 500 пакеттин салым кошуучуларына дагы ушундай талаптарды жайылтууну пландаштырууда.

Жалпысынан алганда, бул 2FA колдонууну милдеттүү кылуу үчүн узак мөөнөттү белгилөө дегенди билдирет Сайт боюнча жана колдонуучуларды 2024-жылга чейинки мөөнөткө чейин асырап алуу үчүн ар кандай борттук агымдарды иштеп чыгуу, деди Ханли.

Ачык булактуу программалык камсыздоону камсыздоо программалык камсыздоо индустриясы үчүн актуалдуу көйгөй бойдон калууда, айрыкча былтыркы log4j аялуулугунан кийин. Бирок GitHub жаңы саясаты кээ бир коркунучтарды жумшартса да, системалык көйгөйлөр сакталып турат: көптөгөн ачык булактуу программалык камсыздоо долбоорлору дагы эле төлөнбөгөн ыктыярчылар тарабынан колдоого алынат жана каржылоо ажырымын жабуу бүтүндөй технологиялык индустрия үчүн негизги маселе катары каралат.

акырында ал жөнүндө көбүрөөк билүүгө кызыкдар болсо, сиз чоо-жайын текшере аласыз Төмөнкү шилтемеде.


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт.

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.