Şimdi birkaç aydır çeşitli yayınlar hakkında yorum yapmıştık p hakkında ne yapıyoruzgüvenlik sorunları GitHub'da ortaya çıkan ve bilgisayar korsanlarının proje havuzlarına erişmek için yararlandıkları güvenlik açıklarını büyük ölçüde ortadan kaldırabilmek için platforma entegre etmeyi planladıkları önlemler hakkında.
Ve şimdi şu anda, GitHub gerektireceğini açıkladı platforma kod katkısında bulunan tüm kullanıcıların iki faktörlü kimlik doğrulamanın (2FA) bir veya daha fazla biçimini etkinleştirin.
"GitHub burada benzersiz bir konumda, çünkü açık kaynak topluluklarının ve içerik oluşturucuların büyük çoğunluğu GitHub.com'da yaşıyor, bilgi hijyeni çıtasını yükselterek küresel ekosistemin güvenliği üzerinde önemli bir olumlu etki yaratabiliriz. ”dedi GitHub'ın güvenlik şefi (CSO) Mike Hanley. “Bunun gerçekten ekosistem çapında sunabileceğimiz en iyi faydalardan biri olduğuna inanıyoruz ve başarılı bir şekilde benimsenmesini sağlamak için tüm zorlukların veya engellerin üstesinden gelinmesini sağlamaya kararlıyız. »
GitHub, siteye kod yükleyen tüm kullanıcıların, platformu kullanmaya devam etmek için 2'ün sonuna kadar bir veya daha fazla iki yönlü iki faktörlü kimlik doğrulama (2023FA) formunu etkinleştirmesi gerektiğini duyurdu.
Yeni politika bir blog gönderisinde duyuruldu Microsoft'un tescilli platformunun yazılım geliştirme sürecinin bütünlüğünü, kontrolü ele geçiren kötü niyetli aktörler tarafından oluşturulan tehditlerden korumadaki rolünü vurgulayan GitHub Baş Güvenlik Sorumlusu (CSO) Mike Hanley tarafından. geliştirici hesapları.
Elbette geliştiricinin kullanıcı deneyimi de dikkate alınıyor ve Mike Hanley bu gereksinimin size zarar vermeyeceğini vurguluyor:
"GitHub, güçlü hesap güvenliğinin harika bir geliştirici deneyimi pahasına gelmemesini sağlamaya kendini adamıştır ve 2023 sonu hedefimiz bize bunun için optimize etme fırsatı veriyor. Standartlar geliştikçe, parolasız kimlik doğrulama da dahil olmak üzere, kullanıcıların kimliklerini güvenli bir şekilde doğrulamanın yeni yollarını aktif olarak keşfetmeye devam edeceğiz. Dünyanın dört bir yanındaki geliştiriciler, daha fazla kimlik doğrulama ve hesap kurtarma seçeneğinin yanı sıra
Çok faktörlü kimlik doğrulama ek koruma sağlasa da çevrimiçi hesaplar için önemli, GitHub'ın dahili araştırması, aktif kullanıcıların yalnızca %16,5'inin (yaklaşık altıda biri) şu anda gelişmiş güvenlik önlemlerini etkinleştir Kullanıcı tabanından platformun yalnızca parola korumasının risklerinin farkında olması gerektiği düşünüldüğünde, hesaplarında şaşırtıcı derecede düşük bir sayı.
Bu kullanıcıları daha yüksek bir minimum standarda yönlendirerek hesap koruması, GitHub genel güvenliği güçlendirmeyi umuyor bir bütün olarak yazılım geliştirme topluluğunun
"Kasım 2021'de GitHub, 2FA etkinleştirilmemiş geliştirici hesaplarının tehlikeye girmesinin bir sonucu olarak npm paketlerinin satın alınmasının ardından npm hesap güvenliğine yeni yatırımlar yapmayı taahhüt etti. Npm hesap güvenliğinde iyileştirmeler yapmaya devam ediyoruz ve ayrıca GitHub aracılığıyla geliştirici hesaplarını korumayı taahhüt ediyoruz.
"Çoğu güvenlik ihlali egzotik sıfır gün saldırılarının ürünü değil, bunun yerine sosyal mühendislik, kimlik hırsızlığı veya sızıntıları gibi düşük maliyetli saldırıları ve saldırganlara kurbanların hesaplarına ve kaynaklara geniş bir erişim yelpazesi sağlayan diğer yolları içeriyor. onlar kullanırlar. erişimleri var. Güvenliği ihlal edilmiş hesaplar, özel kodu çalmak veya bu kodda kötü niyetli değişiklikler yapmak için kullanılabilir. Bu, yalnızca güvenliği ihlal edilmiş hesaplarla ilişkili kişi ve kuruluşları değil, aynı zamanda etkilenen kodun tüm kullanıcılarını da ortaya çıkarır. Sonuç olarak, daha geniş yazılım ekosistemi ve tedarik zinciri üzerindeki aşağı yönlü etki potansiyeli büyüktür.
Zaten yapılmış bir deney GitHub platform kullanıcılarının bir alt kümesinin bir kısmı ile daha küçük bir alt küme ile 2FA kullanımını zorunlu kılmak için zaten bir emsal oluşturdu npm paket yönetimi yazılımıyla dağıtılan popüler JavaScript kitaplıklarına katkıda bulunanlarla test ettikten sonra, platform kullanıcılarının sayısı.
Yaygın olarak kullanılan npm paketleri haftada milyonlarca kez indirilebildiğinden, kötü amaçlı yazılım operatörleri için çok çekici bir hedeftir. Bazı durumlarda, bilgisayar korsanları npm'ye katkıda bulunanların hesaplarını ele geçirdi ve bunları şifre hırsızları ve kripto madencileri tarafından yüklenen yazılım güncellemelerini yayınlamak için kullandı.
Buna cevaben GitHub, Şubat 100'den bu yana en iyi 2022 npm paketinin sahipleri için iki faktörlü kimlik doğrulamayı zorunlu hale getirdi. Şirket, aynı gereksinimleri Mayıs ayı sonuna kadar ilk 500 paketin katılımcılarına da genişletmeyi planlıyor.
Genel olarak konuşursak, bu, 2FA kullanımını zorunlu kılmak için uzun bir son tarih belirlemek anlamına gelir. Hanley, site genelinde ve kullanıcıları 2024 son tarihinden çok önce benimsemeye yönlendirmek için çeşitli işe alım akışları tasarladığını söyledi.
Açık kaynaklı yazılımın güvenliğinin sağlanması, özellikle geçen yılki log4j güvenlik açığından sonra yazılım endüstrisi için acil bir endişe kaynağı olmaya devam ediyor. Ancak GitHub'ın yeni politikası bazı tehditleri azaltacak olsa da, sistemik zorluklar devam ediyor: Birçok açık kaynaklı yazılım projesi hala ücretsiz gönüllüler tarafından sürdürülüyor ve finansman açığını kapatmak, bir bütün olarak teknoloji endüstrisi için önemli bir sorun olarak görülüyor.
Nihayet onun hakkında daha fazla bilgi edinmekle ilgileniyorsanayrıntıları kontrol edebilirsiniz Aşağıdaki bağlantıda.