มาหลายเดือนแล้ว เราได้แสดงความคิดเห็นในสิ่งพิมพ์หลายฉบับ สิ่งที่เราทำเกี่ยวกับ pปัญหาด้านความปลอดภัย ที่เกิดขึ้นใน GitHub และเกี่ยวกับมาตรการที่พวกเขาวางแผนที่จะรวมเข้ากับแพลตฟอร์มเพื่อให้สามารถรับมือกับช่องว่างด้านความปลอดภัยที่แฮ็กเกอร์ใช้ประโยชน์จากการเข้าถึงที่เก็บของโครงการได้มากขึ้น
และตอนนี้ ตอนนี้, GitHub เปิดเผยว่าจะต้อง ที่ผู้ใช้ทุกคนที่ร่วมโค้ดกับแพลตฟอร์ม เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย (2FA) อย่างน้อยหนึ่งรูปแบบ
“GitHub อยู่ในตำแหน่งที่ไม่เหมือนใครเพราะชุมชนโอเพ่นซอร์สและผู้สร้างส่วนใหญ่อาศัยอยู่บน GitHub.com เราสามารถสร้างผลกระทบเชิงบวกอย่างมีนัยสำคัญต่อความปลอดภัยของระบบนิเวศทั่วโลกโดยยกระดับสุขอนามัยของข้อมูล ” Mike Hanley หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยของ GitHub (CSO) กล่าว “เราเชื่อว่านี่เป็นหนึ่งในผลประโยชน์ทั่วทั้งระบบนิเวศที่ดีที่สุดอย่างแท้จริง และเรามุ่งมั่นที่จะสร้างความมั่นใจว่าจะเอาชนะความท้าทายหรืออุปสรรคต่าง ๆ เพื่อให้แน่ใจว่าการนำไปใช้ที่ประสบความสำเร็จ »
GitHub ได้ประกาศว่าผู้ใช้ทุกคนที่อัปโหลดรหัสไปยังไซต์จะต้องเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) อย่างน้อยหนึ่งรูปแบบภายในสิ้นปี 2023 เพื่อใช้งานแพลตฟอร์มต่อไป
ประกาศนโยบายใหม่ในบล็อกโพสต์ โดย Mike Hanley หัวหน้าเจ้าหน้าที่รักษาความปลอดภัย (CSO) ของ GitHub ซึ่งเน้นย้ำถึงบทบาทของแพลตฟอร์มที่เป็นกรรมสิทธิ์ของ Microsoft ในการปกป้องความสมบูรณ์ของกระบวนการพัฒนาซอฟต์แวร์จากภัยคุกคามที่สร้างขึ้นโดยผู้มุ่งร้ายที่เข้าควบคุม ของบัญชีผู้พัฒนา
แน่นอนว่าต้องคำนึงถึงประสบการณ์ผู้ใช้ของนักพัฒนาด้วย และ Mike Hanley เน้นย้ำว่าข้อกำหนดนี้จะไม่ทำร้ายคุณ:
“GitHub มุ่งมั่นที่จะสร้างความมั่นใจว่าการรักษาความปลอดภัยบัญชีที่แข็งแกร่งนั้นไม่ได้แลกมาด้วยประสบการณ์ที่ยอดเยี่ยมสำหรับนักพัฒนา และเป้าหมายสิ้นปี 2023 ของเราทำให้เรามีโอกาสเพิ่มประสิทธิภาพสำหรับสิ่งนั้น ในขณะที่มาตรฐานพัฒนาขึ้น เราจะยังคงสำรวจวิธีการใหม่ๆ ในการตรวจสอบผู้ใช้อย่างปลอดภัย รวมถึงการพิสูจน์ตัวตนแบบไม่ใช้รหัสผ่าน นักพัฒนาทั่วโลกสามารถตั้งตารอตัวเลือกการรับรองความถูกต้องและการกู้คืนบัญชีที่มากขึ้น รวมถึง
แม้ว่าการรับรองความถูกต้องด้วยหลายปัจจัยจะให้การป้องกันเพิ่มเติม สำคัญสำหรับบัญชีออนไลน์ การวิจัยภายในของ GitHub พบว่ามีผู้ใช้งานเพียง 16,5% เท่านั้น (ประมาณหนึ่งในหก) กำลังเปิดใช้มาตรการรักษาความปลอดภัยขั้นสูง ในบัญชีของพวกเขา มีจำนวนน้อยอย่างน่าประหลาดใจ เนื่องจากแพลตฟอร์มจากฐานผู้ใช้ต้องตระหนักถึงความเสี่ยงของการป้องกันด้วยรหัสผ่านเท่านั้น
โดยการนำผู้ใช้เหล่านี้ไปสู่มาตรฐานขั้นต่ำที่สูงขึ้น การปกป้องบัญชี GitHub หวังเสริมความมั่นคงโดยรวม ของชุมชนการพัฒนาซอฟต์แวร์โดยรวม
“ในเดือนพฤศจิกายน 2021 GitHub มุ่งมั่นที่จะลงทุนใหม่ในความปลอดภัยของบัญชี npm หลังจากซื้อแพ็คเกจ npm อันเป็นผลมาจากการประนีประนอมของบัญชีนักพัฒนาซอฟต์แวร์ที่ไม่ได้เปิดใช้งาน 2FA เรายังคงทำการปรับปรุงการรักษาความปลอดภัยของบัญชี npm และมุ่งมั่นที่จะปกป้องบัญชีนักพัฒนาผ่าน GitHub
“การละเมิดความปลอดภัยส่วนใหญ่ไม่ใช่ผลิตภัณฑ์ของการโจมตีซีโร่เดย์ที่แปลกใหม่ แต่กลับเกี่ยวข้องกับการโจมตีที่มีต้นทุนต่ำ เช่น วิศวกรรมสังคม การขโมยข้อมูลประจำตัวหรือการรั่วไหล และช่องทางอื่นๆ ที่ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อและทรัพยากรได้หลากหลาย พวกเขาใช้. มีการเข้าถึง บัญชีที่ถูกบุกรุกสามารถใช้เพื่อขโมยรหัสส่วนตัวหรือทำการเปลี่ยนแปลงที่เป็นอันตรายกับรหัสนั้น สิ่งนี้ไม่เพียงแต่เปิดเผยบุคคลและองค์กรที่เกี่ยวข้องกับบัญชีที่ถูกบุกรุกเท่านั้น แต่ยังแสดงผู้ใช้ทั้งหมดของรหัสที่ได้รับผลกระทบด้วย ด้วยเหตุนี้ ศักยภาพของผลกระทบปลายน้ำต่อระบบนิเวศซอฟต์แวร์และซัพพลายเชนในวงกว้างจึงมีอยู่มาก
ทดลองเสร็จแล้ว ด้วยส่วนย่อยของผู้ใช้แพลตฟอร์ม GitHub ได้กำหนดแบบอย่างสำหรับการใช้ 2FA กับชุดย่อยที่เล็กกว่าแล้ว ของผู้ใช้แพลตฟอร์ม โดยได้ทดสอบกับผู้มีส่วนร่วมในไลบรารี JavaScript ยอดนิยมที่แจกจ่ายด้วยซอฟต์แวร์การจัดการแพ็กเกจ npm
เนื่องจากแพ็คเกจ npm ที่ใช้กันอย่างแพร่หลายสามารถดาวน์โหลดได้หลายล้านครั้งต่อสัปดาห์ จึงเป็นเป้าหมายที่น่าสนใจมากสำหรับตัวดำเนินการมัลแวร์ ในบางกรณี แฮ็กเกอร์บุกรุกบัญชีของผู้สนับสนุน npm และใช้บัญชีเหล่านี้เพื่อเผยแพร่การอัปเดตซอฟต์แวร์ที่ติดตั้งโดยผู้ขโมยรหัสผ่านและนักขุดคริปโต
ในการตอบสนอง GitHub ได้กำหนดให้มีการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ดูแลแพ็คเกจ 100 npm อันดับต้น ๆ ตั้งแต่เดือนกุมภาพันธ์ 2022 บริษัท วางแผนที่จะขยายข้อกำหนดเดียวกันนี้ไปยังผู้ร่วมให้ข้อมูลของแพ็คเกจ 500 อันดับแรกภายในสิ้นเดือนพฤษภาคม
โดยทั่วไปแล้ว นี่หมายถึงการกำหนดเส้นตายที่ยาวนานเพื่อใช้ 2FA บังคับ ทั่วทั้งไซต์และออกแบบโฟลว์การเริ่มต้นใช้งานที่หลากหลายเพื่อขับเคลื่อนผู้ใช้ไปสู่การนำไปใช้ให้ดีก่อนถึงเส้นตายปี 2024 Hanley กล่าว
การรักษาความปลอดภัยซอฟต์แวร์โอเพ่นซอร์สยังคงเป็นปัญหาเร่งด่วนสำหรับอุตสาหกรรมซอฟต์แวร์ โดยเฉพาะอย่างยิ่งหลังจากช่องโหว่ log4j ของปีที่แล้ว แต่ในขณะที่นโยบายใหม่ของ GitHub จะช่วยบรรเทาภัยคุกคามบางอย่าง ความท้าทายเชิงระบบยังคงมีอยู่: โครงการซอฟต์แวร์โอเพ่นซอร์สจำนวนมากยังคงดูแลโดยอาสาสมัครที่ไม่ได้รับค่าจ้าง และการปิดช่องว่างด้านเงินทุนถือเป็นปัญหาสำคัญสำหรับอุตสาหกรรมเทคโนโลยีโดยรวม
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติมคุณสามารถตรวจสอบรายละเอียด ในลิงค์ต่อไปนี้.