Jau vairākus mēnešus bijām komentējuši vairākas publikācijas ko mēs darām ar pdrošības problēmas kas radušies GitHub, un par pasākumiem, ko viņi bija plānojuši integrēt platformā, lai varētu lielākā mērā novērst drošības nepilnības, ko hakeri izmantoja, lai piekļūtu projektu krātuvēm.
Un tagad šobrīd, GitHub atklāja, ka tas būs nepieciešams ka visi lietotāji, kuri ievieto kodu platformā iespējot vienu vai vairākus divu faktoru autentifikācijas (2FA) veidus.
“GitHub šeit atrodas unikālā pozīcijā, jo lielākā daļa atvērtā pirmkoda kopienu un satura veidotāju dzīvo vietnē GitHub.com, mēs varam būtiski pozitīvi ietekmēt globālās ekosistēmas drošību, paaugstinot informācijas higiēnas latiņu. ”, sacīja Maiks Hanlijs, GitHub galvenais drošības speciālists (CSO). "Mēs uzskatām, ka tas patiešām ir viens no labākajiem ekosistēmas mēroga ieguvumiem, ko varam piedāvāt, un mēs esam apņēmušies nodrošināt, ka tiek pārvarētas visas problēmas vai šķēršļi, lai nodrošinātu veiksmīgu ieviešanu. »
GitHub ir paziņojis, ka visiem lietotājiem, kas vietnē augšupielādē kodu, līdz 2. gada beigām būs jāiespējo viens vai vairāki divvirzienu divfaktoru autentifikācijas (2023FA) veidi, lai turpinātu izmantot platformu.
Par jauno politiku tika paziņots emuāra ierakstā GitHub galvenais drošības speciālists (CSO) Maiks Henlijs, kurš uzsvēra Microsoft patentētās platformas lomu programmatūras izstrādes procesa integritātes aizsardzībā pret draudiem, ko rada ļaunprātīgi dalībnieki, kas pārņem vadību. izstrādātāju kontiem.
Protams, tiek ņemta vērā arī izstrādātāja lietotāja pieredze, un Maiks Henlijs uzsver, ka šī prasība jums nekaitēs:
“GitHub ir apņēmies nodrošināt, ka spēcīga konta drošība nenotiek uz lieliskas izstrādātāja pieredzes rēķina, un mūsu 2023. gada beigu mērķis sniedz mums iespēju optimizēt to. Attīstoties standartiem, mēs turpināsim aktīvi pētīt jaunus veidus, kā droši autentificēt lietotājus, tostarp bezparoles autentifikāciju. Izstrādātāji visā pasaulē var cerēt uz vairāk autentifikācijas un konta atkopšanas iespēju, kā arī
Lai gan vairāku faktoru autentifikācija piedāvā papildu aizsardzību svarīgi tiešsaistes kontiem, GitHub iekšējais pētījums liecina, ka tikai 16,5% aktīvo lietotāju (apmēram viens no sešiem) pašlaik nodrošina pastiprinātus drošības pasākumus savos kontos, pārsteidzoši zems skaits, ņemot vērā to, ka platformai no lietotāju bāzes ir jāapzinās riski, kas saistīti ar aizsardzību tikai ar paroli.
Novirzot šos lietotājus uz augstāku minimālo standartu konta aizsardzība, GitHub cer stiprināt vispārējo drošību programmatūras izstrādes kopienai kopumā.
“2021. gada novembrī GitHub apņēmās veikt jaunas investīcijas npm konta drošībā pēc npm pakotņu iegādes, jo tika apdraudēti izstrādātāju konti bez iespējota 2FA. Mēs turpinām uzlabot npm kontu drošību, kā arī esam apņēmušies aizsargāt izstrādātāju kontus, izmantojot GitHub.
"Lielākā daļa drošības pārkāpumu nav radušies eksotisku nulles dienas uzbrukumu rezultātā, bet gan ir saistīti ar zemu izmaksu uzbrukumiem, piemēram, sociālo inženieriju, akreditācijas datu zādzību vai nopludināšanu un citiem veidiem, kas sniedz uzbrucējiem plašu piekļuvi upuru kontiem un resursiem. viņi izmanto. ir piekļuve. Uzlauztus kontus var izmantot, lai nozagtu privāto kodu vai veiktu ļaunprātīgas izmaiņas šajā kodā. Tādējādi tiek atklāti ne tikai cilvēki un organizācijas, kas ir saistītas ar uzlauztajiem kontiem, bet arī visi ietekmētā koda lietotāji. Rezultātā iespējamā pakārtotā ietekme uz plašāku programmatūras ekosistēmu un piegādes ķēdi ir ievērojama.
Eksperiments jau veikts ar daļu no GitHub platformas lietotāju apakškopas jau ir radījis precedentu prasībai izmantot 2FA ar mazāku apakškopu platformas lietotāju, pārbaudot to ar populāru JavaScript bibliotēku atbalstītājiem, kas izplatīti ar npm pakotņu pārvaldības programmatūru.
Tā kā plaši izmantotās npm pakotnes var lejupielādēt miljoniem reižu nedēļā, tās ir ļoti pievilcīgs mērķis ļaunprātīgas programmatūras operatoriem. Dažos gadījumos hakeri uzlauza npm līdzstrādnieku kontus un izmantoja tos, lai izlaistu programmatūras atjauninājumus, ko instalēja paroļu zagļi un šifrēšanas ieguvēji.
Atbildot uz to, GitHub kopš 100. gada februāra ir noteicis obligātu divu faktoru autentifikāciju 2022 npm lielāko pakotņu uzturētājiem. Uzņēmums plāno līdz maija beigām attiecināt tās pašas prasības arī uz 500 populārāko pakotņu atbalstītājiem.
Vispārīgi runājot, tas nozīmē, ka ir jānosaka ilgs termiņš, lai 2FA izmantošana būtu obligāta visā vietnē un izstrādājiet dažādas ieviešanas plūsmas, lai virzītu lietotājus uz adopciju krietni pirms 2024. gada termiņa, sacīja Hanlijs.
Atvērtā pirmkoda programmatūras nodrošināšana joprojām ir nopietna problēma programmatūras industrijā, īpaši pēc pagājušā gada log4j ievainojamības. Taču, lai gan GitHub jaunā politika mazinās dažus draudus, joprojām pastāv sistēmiskas problēmas: daudzus atvērtā pirmkoda programmatūras projektus joprojām uztur bezalgas brīvprātīgie, un finansējuma deficīta novēršana tiek uzskatīta par galveno problēmu tehnoloģiju nozarei kopumā.
Beidzot ja jūs interesē uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.