Že nekaj mesecev komentirali smo več publikacij kaj počnemo glede pvarnostne težave ki so se pojavile v GitHubu in o ukrepih, ki so jih nameravali integrirati v platformo, da bi lahko v večji meri preprečili varnostne vrzeli, ki so jih hekerji izkoristili za dostop do repozitorijev projektov.
In zdaj trenutno, GitHub je razkril, da bo to zahtevalo da vsi uporabniki, ki prispevajo kodo na platformo omogočiti eno ali več oblik dvofaktorske avtentikacije (2FA).
»GitHub je tukaj v edinstvenem položaju, preprosto zato, ker velika večina odprtokodnih skupnosti in ustvarjalcev živi na GitHub.com, lahko pomembno pozitivno vplivamo na varnost globalnega ekosistema z dvigom meril za higieno informacij. varnost ,« je povedal Mike Hanley, glavni varnostni uradnik (CSO) GitHuba. »Verjamemo, da je to resnično ena najboljših koristi za ekosistem, ki jih lahko ponudimo, in zavezani smo k temu, da bomo premagali kakršne koli izzive ali ovire, da bi zagotovili uspešno sprejetje. »
GitHub je napovedal, da bodo morali vsi uporabniki, ki nalagajo kodo na spletno mesto, omogočiti eno ali več oblik dvosmerne dvofaktorske avtentikacije (2FA) do konca leta 2023, da bodo lahko še naprej uporabljali platformo.
Nova politika je bila objavljena v objavi na blogu avtorja GitHub Chief Security Officer (CSO) Mike Hanley, ki je poudaril vlogo Microsoftove lastniške platforme pri zaščiti celovitosti procesa razvoja programske opreme pred grožnjami, ki jih ustvarijo zlonamerni akterji, ki prevzamejo nadzor. računov razvijalcev.
Seveda se upošteva tudi uporabniška izkušnja razvijalca, Mike Hanley pa poudarja, da vam ta zahteva ne bo škodila:
»GitHub je zavezan zagotavljanju, da močna varnost računa ne bo škodila odličnim razvijalcem, in naš cilj do konca leta 2023 nam daje priložnost, da za to optimiziramo. Z razvojem standardov bomo še naprej aktivno raziskovali nove načine za varno preverjanje pristnosti uporabnikov, vključno s preverjanjem pristnosti brez gesla. Razvijalci po vsem svetu se lahko veselijo več možnosti preverjanja pristnosti in obnovitve računa, pa tudi
Čeprav večfaktorska avtentikacija ponuja dodatno zaščito pomembno za spletne račune, Interna raziskava GitHuba kaže, da le 16,5 % aktivnih uporabnikov (približno ena od šestih) trenutno omogoča okrepljene varnostne ukrepe na njihovih računih presenetljivo nizka številka glede na to, da se mora platforma iz uporabniške baze zavedati tveganj zaščite samo z geslom.
Z usmerjanjem teh uporabnikov k višjemu minimalnemu standardu zaščita računa, GitHub upa, da bo okrepila splošno varnost skupnosti za razvoj programske opreme kot celote.
»V novembru 2021 se je GitHub zavezal k novim naložbam v varnost računa npm po pridobitvi paketov npm zaradi ogroženosti računov razvijalcev brez omogočenega 2FA. Še naprej izboljšujemo varnost računa npm in smo tudi predani zaščiti računov razvijalcev prek GitHuba.
»Večina varnostnih kršitev ni produkt eksotičnih napadov ničelnega dne, temveč vključuje nizkocenovne napade, kot so socialni inženiring, krajo poverilnic ali uhajanje poverilnic in druge poti, ki napadalcem omogočajo širok razpon dostopa do računov žrtev in virov. uporabljajo. imeti dostop do. Ogroženi računi se lahko uporabijo za krajo zasebne kode ali zlonamerne spremembe te kode. To ne izpostavlja le ljudi in organizacij, povezanih z ogroženimi računi, temveč tudi vse uporabnike prizadete kode. Posledično je potencial za nadaljnji vpliv na širši ekosistem programske opreme in dobavno verigo velik.
Eksperiment je že opravljen z delčkom podmnožice uporabnikov platforme GitHub je že postavil precedens za zahtevo po uporabi 2FA z manjšo podmnožico uporabnikov platforme, potem ko so ga preizkusili s sodelavci priljubljenih knjižnic JavaScript, distribuiranih s programsko opremo za upravljanje paketov npm.
Ker je mogoče široko uporabljene pakete npm prenesti milijone krat na teden, so zelo privlačna tarča za operaterje zlonamerne programske opreme. V nekaterih primerih so hekerji ogrozili račune sodelavcev npm in jih uporabili za izdajo posodobitev programske opreme, ki so jih namestili kradljivci gesel in kriptominerji.
V odgovor je GitHub od februarja 100 uvedel, da je dvofaktorska avtentikacija obvezna za vzdrževalce najboljših paketov 2022 npm. Podjetje namerava do konca maja razširiti enake zahteve na tiste, ki prispevajo 500 najboljših paketov.
Na splošno, to pomeni določitev dolgega roka, da postane uporaba 2FA obvezna Hanley je dejal, da po celotnem spletnem mestu in oblikuje različne tokove vključevanja, da bi uporabnike spodbudil k sprejetju veliko pred rokom 2024.
Zaščita odprtokodne programske opreme ostaja pereča skrb za industrijo programske opreme, zlasti po lanski ranljivosti log4j. Toda medtem ko bo nova politika GitHuba ublažila nekatere grožnje, ostajajo sistemski izzivi: številne projekte odprtokodne programske opreme še vedno vzdržujejo neplačani prostovoljci, odpravljanje vrzeli v financiranju pa se šteje za glavno vprašanje za tehnološko industrijo kot celoto.
Končno če vas zanima več o tem, lahko preverite podrobnosti V naslednji povezavi.