Ilang buwan na nagkomento kami sa ilang publikasyon ano ang ginagawa natin sa pmga problema sa seguridad na lumitaw sa GitHub at tungkol sa mga hakbang na pinlano nilang isama sa platform upang malabanan sa mas malaking lawak ang mga puwang sa seguridad na sinamantala ng mga hacker upang ma-access ang mga repositoryo ng proyekto.
At ngayon kasalukuyan, Inihayag ng GitHub na kakailanganin nito na ang lahat ng mga user na nag-aambag ng code sa platform paganahin ang isa o higit pang mga anyo ng two-factor authentication (2FA).
"Nasa kakaibang posisyon ang GitHub dito, dahil lang sa karamihan ng mga open source na komunidad at tagalikha ay nakatira sa GitHub.com, makakagawa tayo ng makabuluhang positibong epekto sa seguridad ng pandaigdigang ecosystem sa pamamagitan ng pagpapataas ng antas para sa kalinisan ng impormasyon. seguridad. ,” sabi ni Mike Hanley, ang chief security officer (CSO) ng GitHub. “Naniniwala kami na isa talaga ito sa pinakamahusay na benepisyo sa buong ecosystem na maiaalok namin, at nakatuon kami sa pagtiyak na malalampasan ang anumang hamon o balakid upang matiyak ang matagumpay na pag-aampon. »
Inanunsyo ng GitHub na ang lahat ng mga user na nag-a-upload ng code sa site ay kailangang paganahin ang isa o higit pang mga anyo ng two-way two-factor authentication (2FA) sa katapusan ng 2023 upang patuloy na magamit ang platform.
Ang bagong patakaran ay inihayag sa isang post sa blog ni GitHub Chief Security Officer (CSO) Mike Hanley, na nag-highlight sa papel ng proprietary platform ng Microsoft sa pagprotekta sa integridad ng proseso ng pag-develop ng software mula sa mga banta na nilikha ng mga malisyosong aktor na kumukontrol. ng mga developer account.
Siyempre, ang karanasan ng gumagamit ng developer ay isinasaalang-alang din, at binibigyang-diin ni Mike Hanley na hindi ka sasaktan ng kinakailangang ito:
“Nakatuon ang GitHub sa pagtiyak na ang matibay na seguridad ng account ay hindi makukuha sa kapinsalaan ng magandang karanasan ng developer, at ang aming layunin sa pagtatapos ng 2023 ay nagbibigay sa amin ng pagkakataong mag-optimize para doon. Habang umuunlad ang mga pamantayan, patuloy kaming aktibong tuklasin ang mga bagong paraan para secure na ma-authenticate ang mga user, kabilang ang walang password na pagpapatotoo. Maaaring umasa ang mga developer sa buong mundo sa higit pang mga opsyon sa pagpapatotoo at pagbawi ng account, pati na rin
Bagama't nag-aalok ang multi-factor authentication ng karagdagang proteksyon makabuluhan para sa mga online na account, Ipinapakita ng panloob na pananaliksik ng GitHub na 16,5% lang ng mga aktibong user (mga isa sa anim) kasalukuyang pinagana ang mga pinahusay na hakbang sa seguridad sa kanilang mga account, isang nakakagulat na mababang bilang na ibinigay na ang platform mula sa user base ay dapat magkaroon ng kamalayan sa mga panganib ng password-only na proteksyon.
Sa pamamagitan ng pagdidirekta sa mga user na ito sa mas mataas na minimum na pamantayan proteksyon ng account, GitHub umaasa na palakasin ang pangkalahatang seguridad ng komunidad ng software development sa kabuuan.
“Noong Nobyembre 2021, nakatuon ang GitHub sa mga bagong pamumuhunan sa seguridad ng npm account kasunod ng pagkuha ng mga npm package bilang resulta ng kompromiso ng mga developer account nang hindi naka-enable ang 2FA. Patuloy kaming gumagawa ng mga pagpapahusay sa seguridad ng npm account at nakatuon din sa pagprotekta sa mga developer account sa pamamagitan ng GitHub.
“Karamihan sa mga paglabag sa seguridad ay hindi produkto ng kakaibang zero-day na pag-atake, ngunit sa halip ay nagsasangkot ng mga murang pag-atake tulad ng social engineering, pagnanakaw ng kredensyal o pagtagas, at iba pang mga paraan na nagbibigay sa mga umaatake ng malawak na hanay ng access sa mga account ng mga biktima at mga mapagkukunan. ginagamit nila. may access sa. Maaaring gamitin ang mga nakompromisong account para magnakaw ng pribadong code o gumawa ng mga nakakahamak na pagbabago sa code na iyon. Inilalantad nito hindi lamang ang mga tao at organisasyong nauugnay sa mga nakompromisong account, kundi pati na rin ang lahat ng user ng apektadong code. Bilang resulta, ang potensyal para sa downstream na epekto sa mas malawak na software ecosystem at supply chain ay malaki.
Nagawa na ang isang eksperimento na may maliit na bahagi ng isang subset ng mga user ng platform ng GitHub nagtakda na ng pamarisan para sa pag-aatas sa paggamit ng 2FA na may mas maliit na subset ng mga user ng platform, matapos itong masubukan sa mga nag-aambag sa mga sikat na library ng JavaScript na ipinamahagi gamit ang npm package management software.
Dahil ang malawakang ginagamit na mga npm package ay maaaring ma-download ng milyun-milyong beses bawat linggo, ang mga ito ay isang talagang kaakit-akit na target para sa mga operator ng malware. Sa ilang mga kaso, nakompromiso ng mga hacker ang mga account ng mga kontribyutor ng npm at ginamit ang mga ito upang ilabas ang mga update sa software na na-install ng mga nagnanakaw ng password at mga minero ng crypto.
Bilang tugon, ginawa ng GitHub na mandatory ang two-factor authentication para sa mga maintainer ng nangungunang 100 npm package mula noong Pebrero 2022. Plano ng kumpanya na palawigin ang parehong mga kinakailangan sa mga contributor ng nangungunang 500 package sa katapusan ng Mayo.
Sa pangkalahatan, nangangahulugan ito ng pagtatakda ng mahabang takdang panahon upang gawing mandatoryo ang paggamit ng 2FA sa buong site at magdisenyo ng iba't ibang daloy ng onboarding upang himukin ang mga user patungo sa pag-aampon bago ang 2024 na deadline, sabi ni Hanley.
Ang pag-secure ng open source software ay nananatiling isang mahalagang alalahanin para sa industriya ng software, lalo na pagkatapos ng kahinaan ng log4j noong nakaraang taon. Ngunit habang ang bagong patakaran ng GitHub ay magpapagaan ng ilang banta, nananatili ang mga sistematikong hamon: Maraming open source software project ang pinapanatili pa rin ng mga hindi binabayarang boluntaryo, at ang pagsasara ng agwat sa pagpopondo ay nakikita bilang isang pangunahing isyu para sa industriya ng tech sa kabuuan.
Sa wakas kung interesado kang malaman ang tungkol dito, maaari mong suriin ang mga detalye Sa sumusunod na link.