Od kilku miesięcy skomentowaliśmy kilka publikacji co robimy z pproblemy z bezpieczeństwem które pojawiły się w serwisie GitHub oraz o środkach, które planowali zintegrować z platformą, aby móc w większym stopniu przeciwdziałać lukom w zabezpieczeniach, które wykorzystali hakerzy, aby uzyskać dostęp do repozytoriów projektów.
I teraz w tej chwili, GitHub ujawnił, że będzie wymagał że wszyscy użytkownicy, którzy wnoszą kod do platformy włączyć jedną lub więcej form uwierzytelniania dwuskładnikowego (2FA).
„GitHub ma tutaj wyjątkową pozycję, po prostu dlatego, że ogromna większość społeczności i twórców open source mieszka na GitHub.com, możemy wywrzeć znaczący pozytywny wpływ na bezpieczeństwo globalnego ekosystemu, podnosząc poprzeczkę w zakresie higieny informacji. ”, powiedział Mike Hanley, dyrektor ds. bezpieczeństwa GitHub (CSO). „Wierzymy, że jest to naprawdę jedna z najlepszych korzyści dla całego ekosystemu, jakie możemy zaoferować, i jesteśmy zaangażowani w zapewnienie, że wszelkie wyzwania lub przeszkody zostaną pokonane, aby zapewnić pomyślną adopcję. »
GitHub ogłosił, że wszyscy użytkownicy przesyłający kod do witryny będą musieli włączyć jedną lub więcej form dwukierunkowego uwierzytelniania dwuskładnikowego (2FA) do końca 2023 r., aby nadal korzystać z platformy.
Nowa polityka została ogłoszona w poście na blogu autorstwa GitHub Chief Security Officer (CSO) Mike'a Hanleya, który podkreślił rolę zastrzeżonej platformy Microsoftu w ochronie integralności procesu tworzenia oprogramowania przed zagrożeniami tworzonymi przez przejmujących kontrolę przez złośliwych cyberprzestępców. kont programistów.
Oczywiście pod uwagę brane jest również doświadczenie użytkownika programisty, a Mike Hanley podkreśla, że ten wymóg nie zaszkodzi:
„GitHub dokłada wszelkich starań, aby silne bezpieczeństwo kont nie odbywało się kosztem doskonałego doświadczenia programisty, a nasz cel na koniec 2023 r. daje nam możliwość optymalizacji pod tym kątem. W miarę ewolucji standardów będziemy nadal aktywnie badać nowe sposoby bezpiecznego uwierzytelniania użytkowników, w tym uwierzytelnianie bez hasła. Deweloperzy z całego świata mogą spodziewać się większej liczby opcji uwierzytelniania i odzyskiwania konta, a także
Chociaż uwierzytelnianie wieloskładnikowe zapewnia dodatkową ochronę istotne dla kont internetowych, Z wewnętrznych badań GitHub wynika, że tylko 16,5% aktywnych użytkowników (około jeden na sześć) obecnie umożliwiają ulepszone środki bezpieczeństwa na swoich kontach zaskakująco niska liczba, biorąc pod uwagę, że platforma z bazy użytkowników musi być świadoma zagrożeń związanych z ochroną tylko hasłem.
Kierując tych użytkowników do wyższego standardu minimalnego ochrona konta, GitHub ma nadzieję na wzmocnienie ogólnego bezpieczeństwa społeczności programistów jako całości.
„W listopadzie 2021 r. GitHub zobowiązał się do nowych inwestycji w bezpieczeństwo kont npm po przejęciu pakietów npm w wyniku włamania się na konta deweloperskie bez włączonej funkcji 2FA. Nieustannie ulepszamy zabezpieczenia kont npm, a także zobowiązujemy się do ochrony kont programistów za pośrednictwem usługi GitHub.
„Większość naruszeń bezpieczeństwa nie jest produktem egzotycznych ataków dnia zerowego, ale obejmuje tanie ataki, takie jak socjotechnika, kradzież poświadczeń lub wycieki, i inne sposoby, które dają atakującym szeroki zakres dostępu do kont ofiar i zasobów oni używają. mieć dostęp. Przejęte konta mogą zostać użyte do kradzieży prywatnego kodu lub wprowadzenia złośliwych zmian w tym kodzie. Odsłania to nie tylko osoby i organizacje powiązane z kontami, których dotyczy atak, ale także wszystkich użytkowników kodu, którego dotyczy luka. W rezultacie potencjał dalszego wpływu na szerszy ekosystem oprogramowania i łańcuch dostaw jest znaczny.
Eksperyment już wykonany z ułamkiem podzbioru użytkowników platformy GitHub już ustanowił precedens wymagający użycia 2FA z mniejszym podzbiorem użytkowników platformy, po przetestowaniu jej z autorami popularnych bibliotek JavaScript dystrybuowanych z oprogramowaniem do zarządzania pakietami npm.
Ponieważ powszechnie używane pakiety npm można pobierać miliony razy w tygodniu, stanowią one bardzo atrakcyjny cel dla operatorów szkodliwego oprogramowania. W niektórych przypadkach hakerzy włamali się na konta współtwórców npm i wykorzystali je do wydania aktualizacji oprogramowania, które zostały zainstalowane przez złodziei haseł i kopaczy kryptowalut.
W odpowiedzi GitHub wprowadził obowiązek uwierzytelniania dwuskładnikowego dla opiekunów 100 najlepszych pakietów npm od lutego 2022 r. Firma planuje rozszerzyć te same wymagania na współtwórców 500 najlepszych pakietów do końca maja.
Ogólnie rzecz biorąc, oznacza to ustalenie długiego terminu, aby korzystanie z 2FA było obowiązkowe Hanley powiedział, że w całej witrynie i zaprojektuj różne przepływy onboardingu, aby skłonić użytkowników do przyjęcia na długo przed terminem 2024 r.
Zabezpieczenie oprogramowania open source pozostaje palącym problemem dla branży oprogramowania, zwłaszcza po zeszłorocznej luce w log4j. Ale podczas gdy nowa polityka GitHub złagodzi niektóre zagrożenia, wyzwania systemowe pozostają: wiele projektów oprogramowania open source jest nadal utrzymywanych przez nieopłacanych wolontariuszy, a zamknięcie luki finansowej jest postrzegane jako główny problem dla całej branży technologicznej.
W końcu jeśli chcesz dowiedzieć się więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.