Endi GitHub 2 yil oxirigacha kod kiritgan barcha foydalanuvchilardan FA2023 dan foydalanishni talab qiladi

GitHub logotipi

Bir necha oydan beri bir qancha nashrlarga fikr bildirgan edik p haqida nima qilamizxavfsizlik muammolari GitHub-da paydo bo'lgan va xakerlar loyiha omborlariga kirish uchun foydalangan xavfsizlik bo'shliqlariga ko'proq qarshilik ko'rsatish uchun platformaga integratsiya qilishni rejalashtirgan chora-tadbirlar haqida.

Va hozir hozirda, GitHub buni talab qilishini aytdi platformaga kod qo'shadigan barcha foydalanuvchilar ikki faktorli autentifikatsiyaning (2FA) bir yoki bir nechta shakllarini yoqish.

“GitHub bu yerda oʻziga xos mavqega ega, chunki ochiq kodli hamjamiyatlar va ijodkorlarning aksariyati GitHub.com’da istiqomat qiladi, biz axborot gigienasi uchun barni koʻtarish orqali global ekotizim xavfsizligiga sezilarli ijobiy taʼsir koʻrsatishimiz mumkin. ”, dedi Mayk Xanli, GitHub’ning bosh xavfsizlik xodimi (CSO). “Biz bu haqiqatan ham biz taklif qila oladigan eng yaxshi ekotizim imtiyozlaridan biri ekanligiga ishonamiz va biz farzand asrab olishni muvaffaqiyatli taʼminlash uchun har qanday qiyinchiliklar yoki toʻsiqlarni yengib oʻtishni taʼminlashga intilamiz. »

GitHub saytga kod yuklagan barcha foydalanuvchilar platformadan foydalanishni davom ettirish uchun 2 yil oxirigacha ikki tomonlama ikki faktorli autentifikatsiyaning (2023FA) bir yoki bir nechta shakllarini yoqishi kerakligini eʼlon qildi.

Yangi siyosat blog postida e'lon qilindi  GitHub bosh xavfsizlik direktori (CSO) Mayk Xanli tomonidan, u dasturiy ta'minotni ishlab chiqish jarayonining yaxlitligini nazoratni o'z zimmasiga olgan zararli shaxslar tomonidan yaratilgan tahdidlardan himoya qilishda Microsoft xususiy platformasining rolini ta'kidladi. ishlab chiquvchi hisoblari.

Albatta, ishlab chiquvchining foydalanuvchi tajribasi ham hisobga olinadi va Mayk Xanli bu talab sizga zarar keltirmasligini ta'kidlaydi:

“GitHub kuchli hisob xavfsizligi dasturchilarning ajoyib tajribasi hisobiga kelib qolmasligini taʼminlashga intiladi va bizning 2023 yil oxirigacha boʻlgan maqsadimiz bizga buning uchun optimallashtirish imkoniyatini beradi. Standartlar rivojlanishi bilan biz foydalanuvchilarni xavfsiz autentifikatsiya qilishning yangi usullarini, jumladan parolsiz autentifikatsiyani faol ravishda o'rganishni davom ettiramiz. Dunyo bo'ylab ishlab chiquvchilar ko'proq autentifikatsiya va hisobni tiklash imkoniyatlarini kutishlari mumkin, shuningdek

Garchi ko'p faktorli autentifikatsiya qo'shimcha himoyani taqdim etsa ham onlayn hisoblar uchun muhim, GitHub ichki tadqiqotlari shuni ko'rsatadiki, faol foydalanuvchilarning atigi 16,5 foizi (taxminan oltitadan biri) hozirda kuchaytirilgan xavfsizlik choralarini yoqish ularning hisoblarida, foydalanuvchi bazasidan platforma faqat parol bilan himoyalanish xavfidan xabardor bo'lishi kerakligini hisobga olsak, hayratlanarli darajada past raqam.

Ushbu foydalanuvchilarni yuqori minimal standartga yo'naltirish orqali hisobni himoya qilish, GitHub umumiy xavfsizlikni mustahkamlashga umid qilmoqda umuman dasturiy ta'minotni ishlab chiqish hamjamiyatining.

“2021-yil noyabr oyida GitHub 2FA yoqilmagan holda ishlab chiquvchi hisoblarini buzish natijasida npm paketlarini sotib olgandan keyin npm hisob xavfsizligiga yangi sarmoya kiritish majburiyatini oldi. Biz npm hisobi xavfsizligini yaxshilashda davom etamiz va shuningdek, GitHub orqali ishlab chiquvchilar hisoblarini himoya qilishga sodiqmiz.

“Xavfsizlik buzilishining aksariyati nol kunlik ekzotik hujumlarning mahsuli emas, balki buning oʻrniga ijtimoiy muhandislik, hisob maʼlumotlarini oʻgʻirlash yoki sizib chiqish kabi kam xarajatli hujumlar hamda tajovuzkorlarga jabrlanuvchilar hisoblari va manbalariga keng kirish imkonini beruvchi boshqa usullarni oʻz ichiga oladi. foydalanadilar. kirish huquqiga ega. Buzilgan hisoblar shaxsiy kodni o'g'irlash yoki ushbu kodga zararli o'zgartirishlar kiritish uchun ishlatilishi mumkin. Bu nafaqat buzilgan hisoblar bilan bog'liq odamlar va tashkilotlarni, balki ta'sirlangan kodning barcha foydalanuvchilarini ham ochib beradi. Natijada, kengroq dasturiy ta'minot ekotizimiga va ta'minot zanjiriga quyi oqim ta'sirining salohiyati katta.

Tajriba allaqachon bajarilgan GitHub platformasi foydalanuvchilarining bir qismi bilan 2FA dan kichikroq to'plam bilan foydalanishni talab qilish uchun allaqachon pretsedent o'rnatgan platforma foydalanuvchilari, uni npm paketlarni boshqarish dasturi bilan tarqatilgan mashhur JavaScript kutubxonalariga hissa qo'shuvchilar bilan sinovdan o'tkazgandan so'ng.

Keng qo'llaniladigan npm paketlarini haftada millionlab marta yuklab olish mumkinligi sababli, ular zararli dastur operatorlari uchun juda jozibali maqsaddir. Ba'zi hollarda xakerlar npm hissa qo'shuvchilarning hisoblarini buzishdi va ulardan parol o'g'irlash va kriptominerlar tomonidan o'rnatilgan dasturiy ta'minot yangilanishlarini chiqarish uchun foydalanishdi.

Bunga javoban GitHub 100-yil fevral oyidan boshlab eng yaxshi 2022 npm paketlarni qo‘llab-quvvatlovchilar uchun ikki faktorli autentifikatsiyani majburiy qilib qo‘ydi. Kompaniya may oyi oxirigacha eng yaxshi 500 ta paket ishtirokchilariga ham xuddi shunday talablarni kengaytirishni rejalashtirmoqda.

Umumiy holda, bu 2FA dan foydalanishni majburiy qilish uchun uzoq muddat belgilashni anglatadi sayt bo'ylab va foydalanuvchilarni 2024 yilgacha bo'lgan muddatdan ancha oldin asrab olish tomon undash uchun turli xil onboarding oqimlarini loyihalash, dedi Xanli.

Ochiq kodli dasturiy ta'minotni himoya qilish dasturiy ta'minot sanoati uchun dolzarb muammo bo'lib qolmoqda, ayniqsa o'tgan yilgi log4j zaifligidan keyin. Ammo GitHub-ning yangi siyosati ba'zi tahdidlarni yumshatgan bo'lsa-da, tizimli muammolar saqlanib qolmoqda: ko'plab ochiq kodli dasturiy ta'minot loyihalari hali ham to'lanmagan ko'ngillilar tomonidan qo'llab-quvvatlanadi va moliyalashtirishdagi bo'shliqni yopish butun texnologiya sanoati uchun asosiy muammo sifatida ko'riladi.

FINALMENTE agar siz bu haqda ko'proq bilishni xohlasangiz, tafsilotlarni tekshirishingiz mumkin Quyidagi havolada.


Maqolaning mazmuni bizning printsiplarimizga rioya qiladi muharrirlik etikasi. Xato haqida xabar berish uchun bosing bu erda.

Birinchi bo'lib izohlang

Fikringizni qoldiring

Sizning email manzilingiz chop qilinmaydi.

*

*

  1. Ma'lumotlar uchun javobgardir: Migel Anxel Gaton
  2. Ma'lumotlarning maqsadi: SPAMni boshqarish, izohlarni boshqarish.
  3. Qonuniylashtirish: Sizning roziligingiz
  4. Ma'lumotlar haqida ma'lumot: qonuniy majburiyatlar bundan mustasno, ma'lumotlar uchinchi shaxslarga etkazilmaydi.
  5. Ma'lumotlarni saqlash: Occentus Networks (EU) tomonidan joylashtirilgan ma'lumotlar bazasi
  6. Huquqlar: istalgan vaqtda siz ma'lumotlaringizni cheklashingiz, tiklashingiz va o'chirishingiz mumkin.