Trong vài tháng nay chúng tôi đã nhận xét về các ấn phẩm khác nhau những gì chúng tôi làm về pvấn đề an ninh đã phát sinh trong GitHub và về các biện pháp mà họ đã lên kế hoạch tích hợp vào nền tảng để có thể chống lại ở mức độ lớn hơn các lỗ hổng bảo mật mà tin tặc đã lợi dụng để truy cập kho dự án.
Và bây giờ hiện tại, GitHub tiết lộ rằng nó sẽ yêu cầu rằng tất cả người dùng đóng góp mã cho nền tảng cho phép một hoặc nhiều hình thức xác thực hai yếu tố (2FA).
“GitHub đang ở một vị trí độc nhất vô nhị ở đây, đơn giản vì đại đa số cộng đồng nguồn mở và người sáng tạo sống trên GitHub.com, chúng tôi có thể tạo ra tác động tích cực đáng kể đến an ninh của hệ sinh thái toàn cầu bằng cách nâng cao mức độ an toàn thông tin. , ”Mike Hanley, giám đốc an ninh (CSO) của GitHub cho biết. “Chúng tôi tin rằng đây thực sự là một trong những lợi ích tốt nhất trên toàn hệ sinh thái mà chúng tôi có thể cung cấp và chúng tôi cam kết đảm bảo rằng mọi thách thức hoặc trở ngại đều được vượt qua để đảm bảo áp dụng thành công. »
GitHub đã thông báo rằng tất cả người dùng tải mã lên trang web sẽ cần kích hoạt một hoặc nhiều hình thức xác thực hai yếu tố hai chiều (2FA) vào cuối năm 2023 để tiếp tục sử dụng nền tảng.
Chính sách mới đã được công bố trong một bài đăng trên blog của Giám đốc An ninh GitHub (CSO) Mike Hanley, người đã nêu bật vai trò của nền tảng độc quyền của Microsoft trong việc bảo vệ tính toàn vẹn của quy trình phát triển phần mềm khỏi các mối đe dọa do các phần tử độc hại chiếm quyền kiểm soát. tài khoản nhà phát triển.
Tất nhiên, trải nghiệm người dùng của nhà phát triển cũng được tính đến và Mike Hanley nhấn mạnh rằng yêu cầu này sẽ không gây hại cho bạn:
“GitHub cam kết đảm bảo rằng bảo mật tài khoản mạnh mẽ không làm mất đi trải nghiệm tuyệt vời của nhà phát triển và mục tiêu cuối năm 2023 của chúng tôi mang lại cho chúng tôi cơ hội để tối ưu hóa điều đó. Khi các tiêu chuẩn phát triển, chúng tôi sẽ tiếp tục tích cực khám phá các cách mới để xác thực người dùng một cách an toàn, bao gồm cả xác thực không cần mật khẩu. Các nhà phát triển trên toàn thế giới có thể mong đợi nhiều tùy chọn xác thực và khôi phục tài khoản hơn, cũng như
Mặc dù xác thực đa yếu tố cung cấp khả năng bảo vệ bổ sung quan trọng đối với các tài khoản trực tuyến, Nghiên cứu nội bộ của GitHub cho thấy chỉ có 16,5% người dùng hoạt động (khoảng một phần sáu) hiện đang kích hoạt các biện pháp bảo mật nâng cao trên tài khoản của họ, một con số thấp đáng ngạc nhiên do nền tảng từ cơ sở người dùng phải nhận thức được những rủi ro của việc bảo vệ chỉ bằng mật khẩu.
Bằng cách hướng những người dùng này đến tiêu chuẩn tối thiểu cao hơn bảo vệ tài khoản, GitHub hy vọng tăng cường an ninh tổng thể của cộng đồng phát triển phần mềm nói chung.
“Vào tháng 2021 năm 2, GitHub đã cam kết đầu tư mới vào bảo mật tài khoản npm sau khi mua lại các gói npm do sự xâm nhập của các tài khoản nhà phát triển mà không được kích hoạt XNUMXFA. Chúng tôi tiếp tục cải tiến bảo mật tài khoản npm và cũng cam kết bảo vệ tài khoản nhà phát triển thông qua GitHub.
“Hầu hết các vi phạm bảo mật không phải là sản phẩm của các cuộc tấn công kỳ lạ trong zero-day, mà thay vào đó là các cuộc tấn công chi phí thấp như kỹ thuật xã hội, đánh cắp hoặc rò rỉ thông tin xác thực và các con đường khác cung cấp cho những kẻ tấn công nhiều quyền truy cập vào tài khoản của nạn nhân và các tài nguyên họ dùng. có quyền. Các tài khoản bị xâm nhập có thể được sử dụng để lấy cắp mã riêng tư hoặc thực hiện các thay đổi độc hại đối với mã đó. Điều này không chỉ tiết lộ những người và tổ chức được liên kết với các tài khoản bị xâm phạm mà còn cho thấy tất cả những người dùng mã bị ảnh hưởng. Do đó, tiềm năng tác động hạ nguồn lên hệ sinh thái phần mềm rộng lớn hơn và chuỗi cung ứng là rất lớn.
Một thử nghiệm đã được thực hiện với một phần nhỏ người dùng nền tảng GitHub đã đặt tiền lệ yêu cầu sử dụng 2FA với một tập hợp con nhỏ hơn của người dùng nền tảng, sau khi thử nghiệm nó với những người đóng góp cho các thư viện JavaScript phổ biến được phân phối với phần mềm quản lý gói npm.
Vì các gói npm được sử dụng rộng rãi có thể được tải xuống hàng triệu lần mỗi tuần, chúng là mục tiêu rất hấp dẫn đối với các nhà khai thác phần mềm độc hại. Trong một số trường hợp, tin tặc đã xâm nhập tài khoản của những người đóng góp npm và sử dụng chúng để phát hành các bản cập nhật phần mềm đã được cài đặt bởi những kẻ đánh cắp mật khẩu và chuyên gia mật mã.
Đáp lại, GitHub đã bắt buộc xác thực hai yếu tố đối với những người bảo trì 100 gói npm hàng đầu kể từ tháng 2022 năm 500. Công ty có kế hoạch mở rộng các yêu cầu tương tự cho những người đóng góp của XNUMX gói hàng đầu vào cuối tháng XNUMX.
Nói chung, điều này có nghĩa là đặt ra một thời hạn dài để bắt buộc sử dụng 2FA trên trang web và thiết kế nhiều luồng giới thiệu khác nhau để thúc đẩy người dùng chấp nhận tốt trước thời hạn năm 2024, Hanley nói.
Bảo mật phần mềm nguồn mở vẫn là mối quan tâm cấp bách đối với ngành công nghiệp phần mềm, đặc biệt là sau lỗ hổng log4j năm ngoái. Nhưng trong khi chính sách mới của GitHub sẽ giảm thiểu một số mối đe dọa, những thách thức mang tính hệ thống vẫn còn: Nhiều dự án phần mềm nguồn mở vẫn được duy trì bởi các tình nguyện viên không được trả lương và việc thu hẹp khoảng cách tài trợ được coi là một vấn đề lớn đối với toàn bộ ngành công nghệ.
Cuối cùng nếu bạn muốn biết thêm về nó, bạn có thể kiểm tra các chi tiết Trong liên kết sau đây.