Untuk beberapa bulan sekarang kami telah mengulas beberapa penerbitan apa yang kita lakukan tentang pmasalah keselamatan yang telah timbul dalam GitHub dan tentang langkah-langkah yang mereka telah rancangkan untuk disepadukan ke dalam platform untuk dapat mengatasi lebih banyak jurang keselamatan yang digunakan oleh penggodam untuk mengakses repositori projek.
Dan sekarang pada masa ini, GitHub mendedahkan bahawa ia akan memerlukan bahawa semua pengguna yang menyumbang kod kepada platform dayakan satu atau lebih bentuk pengesahan dua faktor (2FA).
“GitHub berada dalam kedudukan yang unik di sini, semata-mata kerana sebahagian besar komuniti sumber terbuka dan pencipta hidup di GitHub.com, kami boleh memberi kesan positif yang ketara terhadap keselamatan ekosistem global dengan meningkatkan tahap kebersihan maklumat. ,” kata Mike Hanley, ketua pegawai keselamatan (CSO) GitHub. “Kami percaya ini benar-benar salah satu faedah seluruh ekosistem terbaik yang boleh kami tawarkan, dan kami komited untuk memastikan sebarang cabaran atau halangan dapat diatasi untuk memastikan penerimaan yang berjaya. »
GitHub telah mengumumkan bahawa semua pengguna yang memuat naik kod ke tapak perlu mendayakan satu atau lebih bentuk pengesahan dua faktor (2FA) dua hala menjelang akhir tahun 2023 untuk terus menggunakan platform tersebut.
Dasar baharu itu diumumkan dalam catatan blog oleh Ketua Pegawai Keselamatan (CSO) GitHub Mike Hanley, yang menonjolkan peranan platform proprietari Microsoft dalam melindungi integriti proses pembangunan perisian daripada ancaman yang dicipta oleh aktor berniat jahat yang mengawal. daripada akaun pembangun.
Sudah tentu, pengalaman pengguna pembangun juga diambil kira, dan Mike Hanley menekankan bahawa keperluan ini tidak akan merugikan anda:
“GitHub komited untuk memastikan keselamatan akaun yang kukuh tidak mengorbankan pengalaman pembangun yang hebat, dan matlamat akhir 2023 kami memberi kami peluang untuk mengoptimumkan untuk itu. Apabila standard berkembang, kami akan terus meneroka cara baharu secara aktif untuk mengesahkan pengguna dengan selamat, termasuk pengesahan tanpa kata laluan. Pembangun di seluruh dunia boleh menantikan lebih banyak pilihan pengesahan dan pemulihan akaun, serta
Walaupun pengesahan berbilang faktor menawarkan perlindungan tambahan penting untuk akaun dalam talian, Penyelidikan dalaman GitHub menunjukkan bahawa hanya 16,5% pengguna aktif (kira-kira satu daripada enam) pada masa ini membolehkan langkah keselamatan yang dipertingkatkan pada akaun mereka, jumlah yang sangat rendah memandangkan platform daripada pangkalan pengguna mesti sedar tentang risiko perlindungan kata laluan sahaja.
Dengan mengarahkan pengguna ini ke standard minimum yang lebih tinggi perlindungan akaun, GitHub berharap dapat mengukuhkan keselamatan keseluruhan komuniti pembangunan perisian secara keseluruhan.
“Pada November 2021, GitHub komited terhadap pelaburan baharu dalam keselamatan akaun npm berikutan pemerolehan pakej npm akibat daripada kompromi akaun pembangun tanpa 2FA didayakan. Kami terus membuat penambahbaikan pada keselamatan akaun npm dan juga komited untuk melindungi akaun pembangun melalui GitHub.
“Kebanyakan pelanggaran keselamatan bukanlah hasil daripada serangan eksotik sifar hari, sebaliknya melibatkan serangan kos rendah seperti kejuruteraan sosial, kecurian atau kebocoran bukti kelayakan, dan jalan lain yang memberikan penyerang pelbagai akses kepada akaun mangsa dan sumber. mereka guna. mempunyai akses kepada. Akaun yang terjejas boleh digunakan untuk mencuri kod peribadi atau membuat perubahan berniat jahat pada kod tersebut. Ini mendedahkan bukan sahaja orang dan organisasi yang dikaitkan dengan akaun yang terjejas, tetapi juga semua pengguna kod yang terjejas. Akibatnya, potensi impak hiliran ke atas ekosistem perisian yang lebih luas dan rantaian bekalan adalah besar.
Percubaan telah dilakukan dengan sebahagian kecil daripada subset pengguna platform GitHub sudah menetapkan duluan untuk memerlukan penggunaan 2FA dengan subset yang lebih kecil pengguna platform, selepas mengujinya dengan penyumbang kepada perpustakaan JavaScript popular yang diedarkan dengan perisian pengurusan pakej npm.
Memandangkan pakej npm yang digunakan secara meluas boleh dimuat turun berjuta-juta kali seminggu, ia adalah sasaran yang sangat menarik untuk pengendali perisian hasad. Dalam sesetengah kes, penggodam telah menjejaskan akaun penyumbang npm dan menggunakannya untuk mengeluarkan kemas kini perisian yang dipasang oleh pencuri kata laluan dan pelombong kripto.
Sebagai tindak balas, GitHub telah mewajibkan pengesahan dua faktor untuk penyelenggara 100 pakej npm teratas sejak Februari 2022. Syarikat itu merancang untuk melanjutkan keperluan yang sama kepada penyumbang 500 pakej teratas menjelang akhir Mei.
Secara umumnya, ini bermakna menetapkan tarikh akhir yang panjang untuk mewajibkan penggunaan 2FA merentasi tapak dan mereka bentuk pelbagai aliran onboarding untuk mendorong pengguna ke arah penerimaan sebelum tarikh akhir 2024, kata Hanley.
Menjamin perisian sumber terbuka kekal menjadi kebimbangan yang mendesak untuk industri perisian, terutamanya selepas kelemahan log4j tahun lepas. Tetapi sementara dasar baharu GitHub akan mengurangkan beberapa ancaman, cabaran sistemik kekal: Banyak projek perisian sumber terbuka masih diselenggara oleh sukarelawan yang tidak berbayar, dan menutup jurang pembiayaan dilihat sebagai isu utama bagi industri teknologi secara keseluruhan.
Akhirnya sekiranya anda berminat untuk mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.