现在几个月 我们评论了几份出版物 我们对 p 做什么安全问题 GitHub 中出现的这些问题,以及他们计划集成到平台中的措施,以便能够在更大程度上抵消黑客利用访问项目存储库的安全漏洞。
现在 目前, GitHub 透露将要求 所有为平台贡献代码的用户 启用一种或多种形式的双因素身份验证 (2FA)。
“GitHub 在这里处于独特的位置,仅仅因为绝大多数开源社区和创作者都生活在 GitHub.com 上,我们可以通过提高信息卫生标准来对全球生态系统的安全性产生重大的积极影响。安全性,”GitHub 首席安全官 (CSO) 迈克·汉利 (Mike Hanley) 说。 “我们相信这确实是我们可以提供的最好的全生态系统效益之一,我们致力于确保克服任何挑战或障碍以确保成功采用。 »
GitHub 宣布,到 2 年底,所有向该网站上传代码的用户都需要启用一种或多种形式的双向双因素身份验证 (2023FA) 才能继续使用该平台。
新政策在一篇博文中公布 作者:GitHub 首席安全官 (CSO) Mike Hanley,他强调了微软专有平台在保护软件开发过程的完整性免受恶意行为者控制的威胁方面的作用。 的开发者帐户。
当然,开发者的用户体验也是考虑在内的,Mike Hanley 强调这个要求不会伤害到你:
“GitHub 致力于确保强大的帐户安全性不会以牺牲出色的开发人员体验为代价,而我们 2023 年底的目标使我们有机会为此进行优化。 随着标准的发展,我们将继续积极探索安全认证用户的新方法,包括无密码认证。 世界各地的开发者可以期待更多的身份验证和帐户恢复选项,以及
尽管多因素身份验证提供了额外的保护 对在线帐户意义重大, GitHub 内部研究显示,只有 16,5% 的活跃用户 (大约六分之一) 目前启用增强的安全措施 在他们的账户上,这个数字非常低,因为来自用户群的平台必须意识到仅密码保护的风险。
通过引导这些用户达到更高的最低标准 帐户保护,GitHub 希望加强整体安全 整个软件开发社区。
“在 2021 年 2 月,由于未启用 XNUMXFA 的开发人员帐户遭到入侵,GitHub 在收购 npm 软件包后承诺对 npm 帐户安全进行新的投资。 我们继续改进 npm 帐户安全性,并致力于通过 GitHub 保护开发者帐户。
“大多数安全漏洞不是奇异零日攻击的产物,而是涉及低成本攻击,例如社会工程、凭据盗窃或泄漏,以及使攻击者能够广泛访问受害者帐户和资源的其他途径他们使用。 有权访问。 被入侵的帐户可用于窃取私有代码或对该代码进行恶意更改。 这不仅会暴露与受感染帐户相关的人员和组织,还会暴露受影响代码的所有用户。 因此,下游对更广泛的软件生态系统和供应链的影响是巨大的。
已经做了一个实验 仅占 GitHub 平台用户子集的一小部分 已经开创了一个先例,要求使用具有较小子集的 2FA 平台用户,在与 npm 包管理软件分发的流行 JavaScript 库的贡献者一起测试之后。
由于广泛使用的 npm 包每周可以下载数百万次,因此它们是恶意软件运营商非常有吸引力的目标。 在某些情况下,黑客入侵了 npm 贡献者的帐户,并使用它们来发布由密码窃取者和加密矿工安装的软件更新。
作为回应,GitHub 自 100 年 2022 月起对前 500 个 npm 包的维护者强制执行双重身份验证。该公司计划在 XNUMX 月底之前将同样的要求扩展到前 XNUMX 个包的贡献者。
一般来说, 这意味着设定一个很长的期限来强制使用 2FA 汉利说,在整个网站上设计各种入职流程,以推动用户在 2024 年截止日期之前采用。
保护开源软件的安全仍然是软件行业的一个紧迫问题,尤其是在去年的 log4j 漏洞之后。 但尽管 GitHub 的新政策将减轻一些威胁,但系统性挑战依然存在:许多开源软件项目仍由无偿志愿者维护,缩小资金缺口被视为整个科技行业的主要问题。
最后 如果您有兴趣了解更多有关它的信息,您可以查看详细信息 在下面的链接中。