GitHub ayeuna bakal meryogikeun sadaya pangguna anu nyumbangkeun kode ngagunakeun FA2 dina ahir taun 2023

Logo GitHub

Pikeun sababaraha bulan ayeuna urang kungsi commented on sababaraha publikasi naon urang ngalakukeun ngeunaan pmasalah kaamanan anu timbul dina GitHub sareng ngeunaan ukuran anu aranjeunna rencanana pikeun ngahijikeun kana platform pikeun tiasa ngalawan langkung ageung jurang kaamanan anu dimangpaatkeun ku peretas pikeun ngaksés repositori proyék.

Sareng ayeuna ayeuna, GitHub ngungkabkeun yén éta peryogi yén sakabéh pamaké nu nyumbangkeun kode kana platform nu Aktipkeun hiji atawa leuwih bentuk auténtikasi dua faktor (2FA).

"GitHub aya dina posisi anu unik di dieu, ngan kusabab seuseueurna komunitas open source sareng panyipta hirup di GitHub.com, urang tiasa ngadamel dampak positif anu signifikan dina kaamanan ékosistem global ku ngangkat bar pikeun kabersihan inpormasi. , "saur Mike Hanley, lulugu perwira kaamanan (CSO) GitHub. "Kami yakin yén ieu mangrupikeun salah sahiji kauntungan ékosistem anu pangsaéna anu tiasa kami tawarkeun, sareng kami komitmen pikeun mastikeun yén sagala tantangan atanapi halangan diatasi pikeun mastikeun nyoko anu suksés. »

GitHub parantos ngumumkeun yén sadaya pangguna anu ngunggah kode ka situs éta kedah ngaktifkeun hiji atanapi langkung bentuk auténtikasi dua-faktor dua arah (2FA) dina ahir taun 2023 pikeun teras-terasan ngagunakeun platform éta.

Kabijakan anyar diumumkeun dina pos blog  ku Kepala Perwira Kaamanan (CSO) GitHub Mike Hanley, anu nyorot peran platform proprietary Microsoft dina ngajagaan integritas prosés pamekaran parangkat lunak tina ancaman anu diciptakeun ku aktor jahat anu ngawasa. tina rekening pamekar.

Tangtosna, pangalaman pangguna pamekar ogé dipertimbangkeun, sareng Mike Hanley negeskeun yén sarat ieu moal ngarugikeun anjeun:

"GitHub komitmen pikeun mastikeun yén kaamanan akun anu kuat henteu kéngingkeun pangalaman pamekar anu saé, sareng tujuan akhir-2023 kami masihan kami kasempetan pikeun ngaoptimalkeun éta. Nalika standar mekar, urang bakal terus aktip ngajalajah cara anyar pikeun nga-asténtikasi pangguna sacara aman, kalebet auténtikasi tanpa sandi. Pamekar di sakumna dunya tiasa ngarepkeun langkung seueur auténtikasi sareng pilihan pamulihan akun, ogé

Sanajan auténtikasi multi-faktor nawiskeun panyalindungan tambahan penting pikeun akun online, Panaliti internal GitHub nunjukkeun yén ngan 16,5% pangguna aktip (kira-kira hiji dina genep) ayeuna ngaktipkeun ukuran kaamanan ditingkatkeun dina rekening maranéhanana, jumlah héran low nunjukkeun yen platform ti basis pamaké kudu sadar kana resiko panyalindungan sandi-hijina.

Ku ngarahkeun pamaké ieu ka standar minimum luhur panyalindungan akun, GitHub ngaharepkeun pikeun nguatkeun kaamanan sakabéh komunitas pamekaran software sacara gembleng.

"Dina Nopémber 2021, GitHub komitmen kana investasi anyar dina kaamanan akun npm saatos akuisisi bungkusan npm salaku hasil tina kompromi akun pamekar tanpa diaktipkeun 2FA. Kami teras-terasan ningkatkeun kaamanan akun npm sareng ogé komitmen pikeun ngajagaan akun pamekar ngalangkungan GitHub.

"Seuseueurna ngalanggar kaamanan sanés produk tina serangan enol dinten anu aheng, tapi ngalibatkeun serangan béaya rendah sapertos rékayasa sosial, maling kredensial atanapi bocor, sareng jalan sanés anu masihan panyerang aksés anu lega kana akun korban sareng sumber daya. aranjeunna ngagunakeun. boga aksés ka. Akun anu dikompromi tiasa dianggo pikeun maok kode pribadi atanapi ngadamel perobahan jahat kana kode éta. Ieu ngungkabkeun henteu ngan ukur jalma sareng organisasi anu aya hubunganana sareng akun anu dikompromi, tapi ogé sadayana pangguna kode anu kapangaruhan. Hasilna, poténsi dampak hilir dina ékosistem parangkat lunak anu langkung lega sareng ranté suplai ageung.

Hiji percobaan geus dipigawé kalawan fraksi sawaréh ti pamaké platform GitHub parantos nyetél precedent pikeun meryogikeun panggunaan 2FA kalayan sawaréh anu langkung alit tina pamaké platform, sanggeus nguji éta kalayan kontributor ka perpustakaan JavaScript populér disebarkeun ku software manajemén pakét npm.

Kusabab bungkusan npm anu seueur dianggo tiasa diunduh jutaan kali per minggu, aranjeunna mangrupikeun target anu pikaresepeun pikeun operator malware. Dina sababaraha kasus, peretas kompromi akun kontributor npm sareng dianggo pikeun ngaleupaskeun apdet parangkat lunak anu dipasang ku tukang maling sandi sareng cryptominers.

Salaku réspon, GitHub parantos ngajantenkeun auténtikasi dua-faktor wajib pikeun pangropéa 100 pakét npm paling luhur ti saprak Pebruari 2022. Pausahaan ngarencanakeun pikeun manjangkeun syarat anu sami ka kontributor tina 500 bungkusan luhur dina ahir Mei.

Sacara umum, Ieu hartosna netepkeun wates waktu anu panjang pikeun ngagunakeun 2FA wajib sakuliah situs jeung ngarancang rupa-rupa aliran onboarding pikeun ngajalankeun pamaké nuju nyoko ogé saméméh deadline 2024, ceuk Hanley.

Ngamankeun parangkat lunak open source tetep janten perhatian anu penting pikeun industri parangkat lunak, khususna saatos kerentanan log4j taun ka tukang. Tapi bari kabijakan anyar GitHub bakal ngirangan sababaraha ancaman, tantangan sistemik tetep: Seueur proyék parangkat lunak open source masih dijaga ku sukarelawan anu henteu dibayar, sareng nutup celah dana dianggap masalah utama pikeun industri téknologi sacara gembleng.

tungtungna upami anjeun resep terang langkung seueur perkawis éta, anjeun tiasa mariksa detil na Dina tautan ieu.


Eusi tulisan taat kana prinsip urang tina étika éditorial. Pikeun ngalaporkeun kasalahan klik di dieu.

Janten kahiji komen

Ninggalkeun koméntar anjeun

email alamat anjeun moal diterbitkeun.

*

*

  1. Jawab data: Miguel Ángel Gatón
  2. Tujuan tina data: Kontrol SPAM, manajemén koméntar.
  3. Legitimasi: idin anjeun
  4. Komunikasi data: Data moal dikomunikasikan ka pihak katilu kacuali ku kawajiban hukum.
  5. Panyimpenan data: Basis data anu diayakeun ku Occentus Networks (EU)
  6. Hak: Iraha waé anjeun tiasa ngawatesan, cageur sareng mupus inpormasi anjeun.