ГитХуб ће сада захтевати од свих корисника који дају код да користе ФА2 до краја 2023

ГитХуб лого

Већ неколико месеци коментарисали смо неколико публикација шта радимо у вези са стрбезбедносни проблеми који су се појавили у ГитХуб-у и о мерама које су планирали да интегришу у платформу да би могли у већој мери да се супротставе безбедносним празнинама које су хакери искористили да приступе репозиторијумима пројеката.

И сада тренутно, ГитХуб је открио да ће то захтевати да сви корисници који доприносе коду платформи омогући један или више облика двофакторске аутентификације (2ФА).

„ГитХуб је овде у јединственој позицији, једноставно зато што велика већина заједница отвореног кода и креатора живи на ГитХуб.цом, можемо да извршимо значајан позитиван утицај на безбедност глобалног екосистема подизањем границе за хигијену информација. безбедност “, рекао је Мике Ханлеи, главни службеник за сигурност ГитХуб-а (ЦСО). „Верујемо да је ово заиста једна од најбољих погодности за цео екосистем које можемо да понудимо, и посвећени смо да обезбедимо да се превазиђу сви изазови или препреке како бисмо обезбедили успешно усвајање. »

ГитХуб је најавио да ће сви корисници који постављају код на сајт морати да омогуће један или више облика двосмерне двофакторске аутентификације (2ФА) до краја 2023. како би наставили да користе платформу.

Нова политика је објављена у посту на блогу  од стране главног службеника за безбедност ГитХуб-а (ЦСО) Микеа Ханлеиа, који је истакао улогу власничке платформе Мицрософта у заштити интегритета процеса развоја софтвера од претњи које стварају злонамерни актери који преузимају контролу. налога програмера.

Наравно, узима се у обзир и корисничко искуство програмера, а Мике Ханлеи наглашава да вам овај захтев неће шкодити:

„ГитХуб је посвећен обезбеђивању да јака безбедност налога не долази на штету сјајног искуства програмера, а наш циљ до краја 2023. нам даје прилику да оптимизујемо за то. Како се стандарди развијају, наставићемо да активно истражујемо нове начине за безбедну аутентификацију корисника, укључујући аутентификацију без лозинке. Програмери широм света могу да очекују више опција за потврду идентитета и опоравак налога, као и

Иако вишефакторска аутентификација нуди додатну заштиту значајно за онлајн налоге, Интерно истраживање ГитХуб-а показује да само 16,5% активних корисника (отприлике један од шест) тренутно омогућавају појачане мере безбедности у њиховим налозима, изненађујуће мали број с обзиром на то да платформа из базе корисника мора бити свесна ризика заштите само лозинком.

Усмеравањем ових корисника на виши минимални стандард заштита налога, ГитХуб нада да ће ојачати општу безбедност заједнице за развој софтвера у целини.

„У новембру 2021. ГитХуб се обавезао на нова улагања у безбедност нпм налога након куповине нпм пакета као резултат компромитовања налога програмера без омогућене 2ФА. Настављамо да побољшавамо безбедност нпм налога и такође смо посвећени заштити налога програмера преко ГитХуб-а.

„Већина нарушавања безбедности није производ егзотичних напада нултог дана, већ уместо тога укључује јефтине нападе као што су друштвени инжењеринг, крађа акредитива или цурење акредитива и друге могућности које нападачима дају широк спектар приступа налозима жртава и ресурсима они користе. имају приступ. Компромитовани налози се могу користити за крађу приватног кода или за уношење злонамерних промена у тај код. Ово открива не само људе и организације повезане са компромитованим налозима, већ и све кориснике кода на које се то односи. Као резултат тога, потенцијал даљег утицаја на шири софтверски екосистем и ланац снабдевања је значајан.

Експеримент је већ урађен са делом подскупа корисника ГитХуб платформе већ је поставио преседан за захтевање употребе 2ФА са мањим подскупом корисника платформе, након што су га тестирали са сарадницима популарних ЈаваСцрипт библиотека дистрибуираних са нпм софтвером за управљање пакетима.

Пошто се широко коришћени нпм пакети могу преузети милионе пута недељно, они су веома атрактивна мета за оператере злонамерног софтвера. У неким случајевима, хакери су компромитовали налоге нпм сарадника и користили их за објављивање ажурирања софтвера које су инсталирали крадљивачи лозинки и рудари криптовалута.

Као одговор, ГитХуб је од фебруара 100. учинио двофакторску аутентификацију обавезном за одржаваоце најбољих 2022 нпм пакета. Компанија планира да прошири исте захтеве на оне који доприносе 500 најбољих пакета до краја маја.

У општем смислу, то значи постављање дугог рока да би употреба 2ФА постала обавезна широм сајта и дизајнирати различите токове укључивања како би подстакли кориснике ка усвајању много пре рока 2024, рекао је Ханли.

Обезбеђивање софтвера отвореног кода остаје горућа брига за софтверску индустрију, посебно након прошлогодишње рањивости лог4ј. Али док ће нова политика ГитХуб-а ублажити неке претње, системски изазови остају: многе софтверске пројекте отвореног кода и даље одржавају неплаћени волонтери, а затварање јаза у финансирању сматра се главним проблемом за технолошку индустрију у целини.

Коначно ако сте заинтересовани да сазнате више о томе, можете проверити детаље У следећем линку.


Будите први који ће коментарисати

Оставите свој коментар

Ваша емаил адреса неће бити објављена. Обавезна поља су означена са *

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.