Вже кілька місяців ми прокоментували декілька публікацій що ми робимо щодо ппроблеми безпеки які виникли в GitHub і про заходи, які вони планували інтегрувати в платформу, щоб мати можливість більшою мірою протидіяти прогалинам безпеки, якими хакери скористалися для доступу до сховищ проектів.
І зараз в даний час, GitHub розкрив, що це буде потрібно що всі користувачі, які вносять код на платформу увімкнути одну або кілька форм двофакторної аутентифікації (2FA).
«GitHub займає тут унікальне положення, просто тому, що переважна більшість спільнот із відкритим кодом і творців живуть на GitHub.com, ми можемо зробити значний позитивний вплив на безпеку глобальної екосистеми, піднявши планку інформаційної гігієни. », – сказав Майк Хенлі, керівник служби безпеки (CSO) GitHub. «Ми віримо, що це справді одна з найкращих переваг для всієї екосистеми, яку ми можемо запропонувати, і ми прагнемо забезпечити подолання будь-яких проблем або перешкод, щоб забезпечити успішне впровадження. »
GitHub оголосив, що всі користувачі, які завантажують код на сайт, повинні будуть увімкнути одну або кілька форм двосторонньої двофакторної аутентифікації (2FA) до кінця 2023 року, щоб продовжувати використовувати платформу.
Нова політика була оголошена в дописі в блозі Головний спеціаліст із безпеки GitHub (CSO) Майк Хенлі, який підкреслив роль власної платформи Microsoft у захисті цілісності процесу розробки програмного забезпечення від загроз, створених зловмисниками, які беруть під контроль. облікових записів розробників.
Звичайно, користувальницький досвід розробника також враховується, і Майк Хенлі наголошує, що ця вимога вам не зашкодить:
«GitHub прагне забезпечити надійний захист облікового запису не за рахунок чудового досвіду розробників, і наша ціль на кінець 2023 року дає нам можливість оптимізувати для цього. У міру розвитку стандартів ми продовжуватимемо активно досліджувати нові способи безпечної автентифікації користувачів, включаючи автентифікацію без пароля. Розробники в усьому світі можуть розраховувати на додаткові варіанти автентифікації та відновлення облікового запису, а також
Хоча багатофакторна аутентифікація пропонує додатковий захист важливо для онлайн-рахунків, Внутрішні дослідження GitHub показують, що лише 16,5% активних користувачів (приблизно кожен шостий) наразі ввімкнути посилені заходи безпеки в їхніх облікових записах напрочуд низька кількість, враховуючи, що платформа з бази користувачів має знати про ризики захисту лише паролем.
Направляючи цих користувачів до вищого мінімального стандарту захист облікового запису, GitHub сподівається посилити загальну безпеку спільноти розробників програмного забезпечення в цілому.
«У листопаді 2021 року GitHub здійснив нові інвестиції в безпеку облікового запису npm після придбання пакетів npm в результаті компрометації облікових записів розробників без увімкненої 2FA. Ми продовжуємо покращувати безпеку облікового запису npm, а також прагнемо захищати облікові записи розробників через GitHub.
«Більшість порушень безпеки не є продуктом екзотичних атак нульового дня, а включають недорогі атаки, такі як соціальна інженерія, крадіжка облікових даних або витік даних та інші шляхи, які дають зловмисникам широкий діапазон доступу до облікових записів жертв і ресурсів. вони використовують. мати доступ до. Зламані облікові записи можна використовувати для крадіжки приватного коду або внесення шкідливих змін до цього коду. Це виявляє не тільки людей та організації, пов’язані зі зламаними обліковими записами, але й усіх користувачів ураженого коду. Як наслідок, потенційний вплив на ширшу екосистему програмного забезпечення та ланцюг поставок є значним.
Експеримент уже зроблений з часткою підмножини користувачів платформи GitHub вже створив прецедент для вимоги використання 2FA з меншою підмножиною користувачів платформи, перевіривши його з учасниками популярних бібліотек JavaScript, що розповсюджуються з програмним забезпеченням для керування пакетами npm.
Оскільки широко використовувані пакети npm можна завантажувати мільйони разів на тиждень, вони є дуже привабливою метою для операторів шкідливих програм. У деяких випадках хакери зламали облікові записи учасників npm і використовували їх для випуску оновлень програмного забезпечення, які встановлювали крадіжки паролів і криптомайнери.
У відповідь на це GitHub з лютого 100 року зробив двофакторну аутентифікацію обов’язковою для супроводжувачів найкращих пакетів 2022 npm. До кінця травня компанія планує поширити ті самі вимоги на тих, хто розробив 500 найкращих пакетів.
Загалом, це означає встановлення тривалого терміну, щоб зробити використання 2FA обов’язковим Хенлі сказав, що на сайті та розробити різноманітні процеси адаптації, щоб підштовхнути користувачів до впровадження задовго до кінцевого терміну 2024 року.
Безпека програмного забезпечення з відкритим кодом залишається актуальною проблемою для індустрії програмного забезпечення, особливо після минулорічної вразливості log4j. Але хоча нова політика GitHub пом’якшить деякі загрози, залишаються системні проблеми: багато проектів з відкритим кодом програмного забезпечення досі обслуговуються неоплачуваними волонтерами, і усунення дефіциту фінансування розглядається як головна проблема для технологічної галузі в цілому.
В кінці кінців якщо вам цікаво дізнатись більше про це, Ви можете перевірити деталі У наступному посиланні.