Jau keletą mėnesių komentavome keletą publikacijų ką darome dėl psaugumo problemos kurios atsirado „GitHub“, ir apie priemones, kurias jie planavo integruoti į platformą, kad būtų galima labiau neutralizuoti saugumo spragas, kuriomis pasinaudojo įsilaužėliai, norėdami pasiekti projektų saugyklas.
Ir dabar šiuo metu, „GitHub“ atskleidė, kad to reikės kad visi vartotojai, kurie prisideda prie platformos kodo įgalinti vieną ar daugiau dviejų veiksnių autentifikavimo (2FA) formų.
„GitHub čia yra unikalioje padėtyje, nes didžioji dauguma atvirojo kodo bendruomenių ir kūrėjų gyvena GitHub.com, todėl galime padaryti reikšmingą teigiamą poveikį pasaulinės ekosistemos saugumui, pakeldami informacijos higienos kartelę. “, – sakė „GitHub“ vyriausiasis saugumo pareigūnas (CSO) Mike'as Hanley. „Manome, kad tai tikrai vienas geriausių ekosistemos privalumų, kurį galime pasiūlyti, ir esame įsipareigoję užtikrinti, kad būtų įveikti visi iššūkiai ar kliūtys, kad būtų užtikrintas sėkmingas pritaikymas. »
„GitHub“ paskelbė, kad visi vartotojai, įkeliantys kodą į svetainę, iki 2 m. pabaigos turės įjungti vieną ar kelias dvipusio dviejų veiksnių autentifikavimo (2023FA) formas, kad galėtų toliau naudotis platforma.
Naujoji politika buvo paskelbta tinklaraščio įraše GitHub vyriausiasis saugos pareigūnas (CSO) Mike'as Hanley'is, pabrėžęs Microsoft patentuotos platformos vaidmenį apsaugant programinės įrangos kūrimo proceso vientisumą nuo grėsmių, kurias sukelia kenkėjiški veikėjai, perimant kontrolę. kūrėjų paskyrų.
Žinoma, atsižvelgiama ir į kūrėjo vartotojo patirtį, o Mike'as Hanley pabrėžia, kad šis reikalavimas jums nepakenks:
„GitHub yra įsipareigojusi užtikrinti, kad stipri paskyros sauga neatsirastų puikios kūrėjo patirties sąskaita, o mūsų 2023 m. pabaigos tikslas suteikia mums galimybę optimizuoti. Standartams tobulėjant, mes ir toliau aktyviai ieškosime naujų būdų saugiai autentifikuoti vartotojus, įskaitant autentifikavimą be slaptažodžio. Kūrėjai visame pasaulyje gali tikėtis daugiau autentifikavimo ir paskyros atkūrimo parinkčių, taip pat
Nors kelių veiksnių autentifikavimas suteikia papildomą apsaugą svarbios internetinėms paskyroms, „GitHub“ vidinis tyrimas rodo, kad aktyvių vartotojų tik 16,5 proc (maždaug vienas iš šešių) šiuo metu įgalinamos sustiprintos saugumo priemonės jų paskyrose, stebėtinai mažas skaičius, atsižvelgiant į tai, kad platforma iš vartotojų bazės turi žinoti apie apsaugos tik slaptažodžiu riziką.
Nukreipdami šiuos vartotojus į aukštesnį minimalų standartą paskyros apsauga, „GitHub“. tikisi sustiprinti bendrą saugumą visos programinės įrangos kūrimo bendruomenės.
„2021 m. lapkritį „GitHub“ įsipareigojo naujoms investicijoms į npm paskyros saugumą, kai įsigijo npm paketus dėl kūrėjų paskyrų, kuriose neįjungta 2FA, kompromiso. Mes ir toliau tobuliname npm paskyros saugą ir esame įsipareigoję apsaugoti kūrėjų paskyras per „GitHub“.
„Dauguma saugumo pažeidimų nėra egzotiškų nulinės dienos atakų padarinys, o apima nebrangias atakas, tokias kaip socialinė inžinerija, kredencialų vagystės ar nutekėjimai ir kiti būdai, suteikiantys užpuolikams plačią prieigą prie aukų paskyrų ir išteklių. jie naudoja. turėti prieigą prie. Pažeistos paskyros gali būti naudojamos pavogti privatų kodą arba atlikti kenkėjiškus šio kodo pakeitimus. Tai atskleidžia ne tik žmones ir organizacijas, susijusias su pažeistomis paskyromis, bet ir visus paveikto kodo naudotojus. Dėl to potencialus tolesnis poveikis platesnei programinės įrangos ekosistemai ir tiekimo grandinei yra didelis.
Jau atliktas eksperimentas su dalimi GitHub platformos vartotojų jau sukūrė precedentą reikalauti naudoti 2FA su mažesniu poaibiu platformos vartotojų, išbandę ją su populiarių JavaScript bibliotekų, platinamų su npm paketų valdymo programine įranga, bendradarbiais.
Kadangi plačiai naudojami npm paketai gali būti atsisiunčiami milijonus kartų per savaitę, jie yra labai patrauklus kenkėjiškų programų operatorių tikslas. Kai kuriais atvejais įsilaužėliai sugadindavo npm bendradarbių paskyras ir naudojo jas norėdami išleisti programinės įrangos naujinius, kuriuos įdiegė slaptažodžių vagystės ir kriptovaliutos.
Reaguodama į tai, „GitHub“ nuo 100 m. vasario mėn. 2022 geriausių npm paketų prižiūrėtojams padarė privalomą dviejų veiksnių autentifikavimą. Iki gegužės pabaigos bendrovė planuoja taikyti tuos pačius reikalavimus ir 500 geriausių paketų dalyviams.
Apskritai, tai reiškia, kad reikia nustatyti ilgą terminą, kad 2FA naudojimas taptų privalomas Svetainėje ir suprojektuokite įvairius įtraukimo srautus, kad naudotojai būtų pradėti naudoti gerokai iki 2024 m. termino, sakė Hanley.
Atvirojo kodo programinės įrangos apsauga tebėra neatidėliotinas susirūpinimas programinės įrangos pramonei, ypač po praėjusių metų log4j pažeidžiamumo. Tačiau nors naujoji „GitHub“ politika sumažins kai kurias grėsmes, sisteminiai iššūkiai išlieka: daugelį atvirojo kodo programinės įrangos projektų vis dar prižiūri neapmokami savanoriai, o finansavimo trūkumo panaikinimas laikomas pagrindine visos technologijų pramonės problema.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.