Prej disa muajsh ne kishim komentuar disa botime çfarë bëjmë ne për pproblemet e sigurisë që janë shfaqur në GitHub dhe në lidhje me masat që ata kishin planifikuar të integronin në platformë për të qenë në gjendje të kundërshtonin në një masë më të madhe boshllëqet e sigurisë që hakerët përfituan për të hyrë në depot e projektit.
Dhe tani aktualisht, GitHub zbuloi se do të kërkojë që të gjithë përdoruesit që kontribuojnë kodin në platformë aktivizoni një ose më shumë forma të vërtetimit me dy faktorë (2FA).
“GitHub është në një pozicion unik këtu, thjesht sepse shumica dërrmuese e komuniteteve dhe krijuesve me burim të hapur jetojnë në GitHub.com, ne mund të kemi një ndikim të rëndësishëm pozitiv në sigurinë e ekosistemit global duke ngritur shiritin për higjienën e informacionit. siguria ”, tha Mike Hanley, shefi i sigurisë (CSO) i GitHub. “Ne besojmë se ky është me të vërtetë një nga përfitimet më të mira në mbarë ekosistemin që mund të ofrojmë dhe ne jemi të përkushtuar të sigurojmë që çdo sfidë apo pengesë të kapërcehet për të siguruar adoptim të suksesshëm. »
GitHub ka njoftuar se të gjithë përdoruesit që ngarkojnë kodin në faqe do të duhet të aktivizojnë një ose më shumë forma të vërtetimit të dyanshëm me dy faktorë (2FA) deri në fund të vitit 2023 në mënyrë që të vazhdojnë të përdorin platformën.
Politika e re u njoftua në një postim në blog nga Shefi i Sigurisë së GitHub (CSO) Mike Hanley, i cili theksoi rolin e platformës së pronarit të Microsoft në mbrojtjen e integritetit të procesit të zhvillimit të softuerit nga kërcënimet e krijuara nga aktorë keqdashës që marrin kontrollin. të llogarive të zhvilluesit.
Sigurisht, merret parasysh edhe përvoja e përdoruesit të zhvilluesit, dhe Mike Hanley thekson se kjo kërkesë nuk do t'ju dëmtojë:
“GitHub është i përkushtuar të sigurojë që siguria e fortë e llogarisë nuk vjen në kurriz të një përvoje të shkëlqyer zhvilluesi, dhe qëllimi ynë i fundit të 2023 na jep mundësinë për të optimizuar për këtë. Ndërsa standardet evoluojnë, ne do të vazhdojmë të eksplorojmë në mënyrë aktive mënyra të reja për vërtetimin e sigurt të përdoruesve, duke përfshirë vërtetimin pa fjalëkalim. Zhvilluesit në mbarë botën mund të presin më shumë opsione vërtetimi dhe rikuperimi të llogarisë, si dhe
Edhe pse vërtetimi me shumë faktorë ofron mbrojtje shtesë domethënëse për llogaritë në internet, Hulumtimi i brendshëm i GitHub tregon se vetëm 16,5% e përdoruesve aktivë (rreth një në gjashtë) aktualisht mundësojnë masa të shtuara sigurie në llogaritë e tyre, një numër çuditërisht i ulët duke pasur parasysh se platforma nga baza e përdoruesve duhet të jetë e vetëdijshme për rreziqet e mbrojtjes vetëm me fjalëkalim.
Duke i drejtuar këta përdorues drejt një standardi minimal më të lartë mbrojtja e llogarisë, GitHub shpreson të forcojë sigurinë e përgjithshme të komunitetit të zhvillimit të softuerit në tërësi.
“Në nëntor 2021, GitHub u angazhua për investime të reja në sigurinë e llogarisë npm pas blerjes së paketave npm si rezultat i kompromentimit të llogarive të zhvilluesve pa 2FA të aktivizuar. Ne vazhdojmë të bëjmë përmirësime në sigurinë e llogarisë npm dhe jemi gjithashtu të përkushtuar të mbrojmë llogaritë e zhvilluesve përmes GitHub.
“Shumica e shkeljeve të sigurisë nuk janë produkt i sulmeve ekzotike të ditës zero, por në vend të kësaj përfshijnë sulme me kosto të ulët si inxhinieri sociale, vjedhje kredenciale ose rrjedhje, dhe rrugë të tjera që u japin sulmuesve një gamë të gjerë aksesi në llogaritë e viktimave dhe burimet. ata perdorin. kanë akses në. Llogaritë e komprometuara mund të përdoren për të vjedhur kodin privat ose për të bërë ndryshime me qëllim të keq në atë kod. Kjo ekspozon jo vetëm njerëzit dhe organizatat e lidhura me llogaritë e komprometuara, por edhe të gjithë përdoruesit e kodit të prekur. Si rezultat, potenciali për ndikim në rrjedhën e poshtme në ekosistemin më të gjerë të softuerit dhe zinxhirin e furnizimit është thelbësor.
Një eksperiment i bërë tashmë me një pjesë të një nëngrupi të përdoruesve të platformës GitHub tashmë ka vendosur një precedent për të kërkuar përdorimin e 2FA me një nëngrup më të vogël e përdoruesve të platformës, pasi e kanë testuar atë me kontribues në bibliotekat e njohura JavaScript të shpërndara me softuerin e menaxhimit të paketave npm.
Meqenëse paketat npm të përdorura gjerësisht mund të shkarkohen miliona herë në javë, ato janë një objektiv shumë tërheqës për operatorët e malware. Në disa raste, hakerët komprometuan llogaritë e kontribuesve të npm dhe i përdorën ato për të lëshuar përditësime të softuerit që ishin instaluar nga vjedhësit e fjalëkalimeve dhe minatorët e kriptove.
Si përgjigje, GitHub e ka bërë të detyrueshëm vërtetimin me dy faktorë për mirëmbajtësit e paketave kryesore 100 npm që nga shkurti 2022. Kompania planifikon të zgjasë të njëjtat kërkesa për kontribuesit e 500 paketave kryesore deri në fund të majit.
Në terma të përgjithshme, kjo nënkupton vendosjen e një afati të gjatë për ta bërë të detyrueshëm përdorimin e 2FA në të gjithë sitin dhe dizajnoni një shumëllojshmëri të flukseve të hyrjes për t'i shtyrë përdoruesit drejt adoptimit shumë përpara afatit të vitit 2024, tha Hanley.
Sigurimi i softuerit me burim të hapur mbetet një shqetësim urgjent për industrinë e softuerit, veçanërisht pas cenueshmërisë log4j të vitit të kaluar. Por ndërsa politika e re e GitHub do të zbusë disa kërcënime, sfidat sistemike mbeten: Shumë projekte softuerësh me burim të hapur mbahen ende nga vullnetarë të papaguar dhe mbyllja e hendekut të financimit shihet si një çështje kryesore për industrinë e teknologjisë në tërësi.
Më në fund nëse jeni të interesuar të dini më shumë për të, ju mund të kontrolloni detajet Në lidhjen vijuese.