இப்போது பல மாதங்களாக நாங்கள் பல வெளியீடுகளில் கருத்து தெரிவித்திருந்தோம் p பற்றி நாம் என்ன செய்கிறோம்பாதுகாப்பு பிரச்சனைகள் GitHub இல் தோன்றியவை மற்றும் திட்ட களஞ்சியங்களை அணுகுவதற்கு ஹேக்கர்கள் பயன்படுத்திக் கொண்ட பாதுகாப்பு இடைவெளிகளை அதிக அளவில் எதிர்கொள்ளும் வகையில் அவர்கள் மேடையில் ஒருங்கிணைக்க திட்டமிட்டிருந்த நடவடிக்கைகள் பற்றி.
இப்போது தற்போது, தேவைப்படும் என்று GitHub வெளிப்படுத்தியது மேடையில் குறியீட்டை பங்களிக்கும் அனைத்து பயனர்களும் இரண்டு காரணி அங்கீகாரத்தின் ஒன்று அல்லது அதற்கு மேற்பட்ட வடிவங்களை இயக்கவும் (2FA).
"GitHub இங்கே ஒரு தனித்துவமான நிலையில் உள்ளது, பெரும்பாலான திறந்த மூல சமூகங்கள் மற்றும் படைப்பாளிகள் GitHub.com இல் வசிப்பதால், தகவல் சுகாதாரத்திற்கான பட்டியை உயர்த்துவதன் மூலம் உலகளாவிய சுற்றுச்சூழல் அமைப்பின் பாதுகாப்பில் குறிப்பிடத்தக்க நேர்மறையான தாக்கத்தை ஏற்படுத்த முடியும். கிட்ஹப்பின் தலைமை பாதுகாப்பு அதிகாரி (சிஎஸ்ஓ) மைக் ஹான்லி கூறினார். "இது உண்மையிலேயே நாங்கள் வழங்கக்கூடிய சிறந்த சுற்றுச்சூழல் அளவிலான நன்மைகளில் ஒன்றாகும் என்று நாங்கள் நம்புகிறோம், மேலும் வெற்றிகரமான தத்தெடுப்பை உறுதிசெய்ய ஏதேனும் சவால்கள் அல்லது தடைகள் கடக்கப்படுவதை உறுதிசெய்ய நாங்கள் கடமைப்பட்டுள்ளோம். »
தளத்தில் குறியீட்டைப் பதிவேற்றும் அனைத்து பயனர்களும் தளத்தைத் தொடர்ந்து பயன்படுத்துவதற்கு 2 ஆம் ஆண்டின் இறுதிக்குள் ஒன்று அல்லது அதற்கு மேற்பட்ட இருவழி இரு காரணி அங்கீகாரத்தை (2023FA) இயக்க வேண்டும் என்று GitHub அறிவித்துள்ளது.
புதிய கொள்கை ஒரு வலைப்பதிவு இடுகையில் அறிவிக்கப்பட்டது GitHub தலைமை பாதுகாப்பு அதிகாரி (CSO) மைக் ஹான்லி, தீங்கிழைக்கும் நடிகர்களால் உருவாக்கப்பட்ட அச்சுறுத்தல்களிலிருந்து மென்பொருள் மேம்பாட்டு செயல்முறையின் ஒருமைப்பாட்டைப் பாதுகாப்பதில் மைக்ரோசாப்டின் தனியுரிம தளத்தின் பங்கை எடுத்துரைத்தார். டெவலப்பர் கணக்குகள்.
நிச்சயமாக, டெவலப்பரின் பயனர் அனுபவமும் கணக்கில் எடுத்துக்கொள்ளப்படுகிறது, மேலும் இந்தத் தேவை உங்களைப் பாதிக்காது என்று மைக் ஹான்லி வலியுறுத்துகிறார்:
"ஒரு சிறந்த டெவலப்பர் அனுபவத்தின் இழப்பில் வலுவான கணக்குப் பாதுகாப்பு வராது என்பதை உறுதிசெய்வதில் GitHub உறுதிபூண்டுள்ளது, மேலும் 2023 ஆம் ஆண்டின் இறுதி இலக்கு அதை மேம்படுத்துவதற்கான வாய்ப்பை எங்களுக்கு வழங்குகிறது. தரநிலைகள் உருவாகும்போது, கடவுச்சொல் இல்லாத அங்கீகாரம் உட்பட, பயனர்களைப் பாதுகாப்பாக அங்கீகரிப்பதற்கான புதிய வழிகளை நாங்கள் தொடர்ந்து ஆராய்வோம். உலகெங்கிலும் உள்ள டெவலப்பர்கள் மேலும் அங்கீகாரம் மற்றும் கணக்கு மீட்டெடுப்பு விருப்பங்களை எதிர்பார்க்கலாம்
பல காரணி அங்கீகாரம் கூடுதல் பாதுகாப்பை வழங்குகிறது என்றாலும் ஆன்லைன் கணக்குகளுக்கு குறிப்பிடத்தக்கது, செயலில் உள்ள பயனர்களில் 16,5% மட்டுமே என்று கிட்ஹப்பின் உள் ஆய்வு காட்டுகிறது (ஆறில் ஒன்று) தற்போது மேம்படுத்தப்பட்ட பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துகிறது அவர்களின் கணக்குகளில், வியக்கத்தக்க குறைந்த எண்ணிக்கையில், பயனர் தளத்தில் இருந்து இயங்குதளம் கடவுச்சொல் மட்டும் பாதுகாப்பின் அபாயங்கள் பற்றி அறிந்திருக்க வேண்டும்.
இந்த பயனர்களை அதிக குறைந்தபட்ச தரநிலைக்கு வழிநடத்துவதன் மூலம் கணக்கு பாதுகாப்பு, GitHub ஒட்டுமொத்த பாதுகாப்பை பலப்படுத்த நம்புகிறது ஒட்டுமொத்த மென்பொருள் மேம்பாட்டு சமூகத்தின்.
“நவம்பர் 2021 இல், 2FA இயக்கப்படாத டெவலப்பர் கணக்குகளின் சமரசத்தின் விளைவாக npm தொகுப்புகளை கையகப்படுத்தியதைத் தொடர்ந்து npm கணக்குப் பாதுகாப்பில் புதிய முதலீடுகளுக்கு GitHub உறுதியளித்தது. npm கணக்குப் பாதுகாப்பில் தொடர்ந்து மேம்பாடுகளைச் செய்து வருகிறோம், மேலும் GitHub மூலம் டெவலப்பர் கணக்குகளைப் பாதுகாப்பதில் உறுதியாக இருக்கிறோம்.
"பெரும்பாலான பாதுகாப்பு மீறல்கள் கவர்ச்சியான பூஜ்ஜிய நாள் தாக்குதல்களின் விளைவாக இல்லை, மாறாக சமூக பொறியியல், நற்சான்றிதழ் திருட்டு அல்லது கசிவுகள் போன்ற குறைந்த விலை தாக்குதல்கள் மற்றும் பாதிக்கப்பட்டவர்களின் கணக்குகள் மற்றும் வளங்களை தாக்குபவர்களுக்கு பரந்த அணுகலை வழங்கும் பிற வழிகள் ஆகியவை அடங்கும். அவர்கள் பயன்படுத்துகிறார்கள். அணுகல் வேண்டும். தனிப்பட்ட குறியீட்டைத் திருட அல்லது அந்தக் குறியீட்டில் தீங்கிழைக்கும் மாற்றங்களைச் செய்ய சமரசம் செய்யப்பட்ட கணக்குகள் பயன்படுத்தப்படலாம். இது சமரசம் செய்யப்பட்ட கணக்குகளுடன் தொடர்புடைய நபர்கள் மற்றும் நிறுவனங்களை மட்டுமல்ல, பாதிக்கப்பட்ட குறியீட்டின் அனைத்து பயனர்களையும் அம்பலப்படுத்துகிறது. இதன் விளைவாக, பரந்த மென்பொருள் சுற்றுச்சூழல் அமைப்பு மற்றும் விநியோகச் சங்கிலியில் கீழ்நிலை தாக்கத்திற்கான சாத்தியம் கணிசமானது.
ஏற்கனவே ஒரு பரிசோதனை செய்யப்பட்டது GitHub இயங்குதள பயனர்களின் துணைக்குழுவின் ஒரு பகுதியுடன் ஒரு சிறிய துணைக்குழுவுடன் 2FA ஐப் பயன்படுத்துவதற்கு ஏற்கனவே ஒரு முன்னுதாரணத்தை அமைத்துள்ளது இயங்குதள பயனர்கள், npm தொகுப்பு மேலாண்மை மென்பொருளுடன் விநியோகிக்கப்படும் பிரபலமான ஜாவாஸ்கிரிப்ட் நூலகங்களுக்கு பங்களிப்பாளர்களுடன் சோதனை செய்த பிறகு.
பரவலாகப் பயன்படுத்தப்படும் npm தொகுப்புகள் வாரத்திற்கு மில்லியன் கணக்கான முறை பதிவிறக்கம் செய்யப்படலாம் என்பதால், அவை தீம்பொருள் ஆபரேட்டர்களுக்கு மிகவும் கவர்ச்சிகரமான இலக்காகும். சில சந்தர்ப்பங்களில், ஹேக்கர்கள் npm பங்களிப்பாளர்களின் கணக்குகளை சமரசம் செய்து, கடவுச்சொல் திருடுபவர்கள் மற்றும் கிரிப்டோமினர்களால் நிறுவப்பட்ட மென்பொருள் புதுப்பிப்புகளை வெளியிட அவற்றைப் பயன்படுத்தினர்.
பதிலுக்கு, GitHub பிப்ரவரி 100 முதல் சிறந்த 2022 npm தொகுப்புகளை பராமரிப்பவர்களுக்கு இரண்டு காரணி அங்கீகாரத்தை கட்டாயமாக்கியுள்ளது. மே மாத இறுதிக்குள் முதல் 500 தொகுப்புகளின் பங்களிப்பாளர்களுக்கும் இதே தேவைகளை நீட்டிக்க நிறுவனம் திட்டமிட்டுள்ளது.
பொதுவாக, இதன் பொருள் 2FA ஐ கட்டாயமாக பயன்படுத்துவதற்கு நீண்ட காலக்கெடுவை அமைப்பதாகும் தளம் முழுவதும் மற்றும் 2024 காலக்கெடுவிற்கு முன்பே பயனர்களை தத்தெடுக்கும் நோக்கில் பலவிதமான ஆன்போர்டிங் ஓட்டங்களை வடிவமைத்து, ஹான்லி கூறினார்.
ஓப்பன் சோர்ஸ் மென்பொருளைப் பாதுகாப்பது மென்பொருள் துறைக்கு ஒரு அழுத்தமான கவலையாக உள்ளது, குறிப்பாக கடந்த ஆண்டு log4j பாதிப்புக்குப் பிறகு. GitHub இன் புதிய கொள்கை சில அச்சுறுத்தல்களைத் தணிக்கும் அதே வேளையில், முறையான சவால்கள் உள்ளன: பல திறந்த மூல மென்பொருள் திட்டங்கள் இன்னும் செலுத்தப்படாத தன்னார்வலர்களால் பராமரிக்கப்படுகின்றன, மேலும் நிதி இடைவெளியை மூடுவது ஒட்டுமொத்த தொழில்நுட்பத் துறைக்கும் ஒரு முக்கிய பிரச்சினையாகக் கருதப்படுகிறது.
இறுதியாக நீங்கள் அதைப் பற்றி மேலும் அறிய ஆர்வமாக இருந்தால், நீங்கள் விவரங்களை சரிபார்க்கலாம் பின்வரும் இணைப்பில்.