GitHub 現在將要求所有貢獻代碼的用戶在 2 年底之前使用 FA2023

GitHub徽標

現在幾個月 我們評論了幾份出版物 我們對 p 做什麼安全問題 GitHub 中出現的這些問題,以及他們計劃集成到平台中的措施,以便能夠在更大程度上抵消黑客利用訪問項目存儲庫的安全漏洞。

現在 目前, GitHub 透露將要求 所有為平台貢獻代碼的用戶 啟用一種或多種形式的雙因素身份驗證 (2FA)。

“GitHub 在這里處於獨特的位置,僅僅因為絕大多數開源社區和創作者都生活在 GitHub.com 上,我們可以通過提高信息衛生標準來對全球生態系統的安全性產生重大的積極影響。安全性,”GitHub 首席安全官 (CSO) 邁克·漢利 (Mike Hanley) 說。 “我們相信這確實是我們可以提供的最好的全生態系統效益之一,我們致力於確保克服任何挑戰或障礙以確保成功採用。 »

GitHub 宣布,到 2 年底,所有向該網站上傳代碼的用戶都需要啟用一種或多種形式的雙向雙因素身份驗證 (2023FA) 才能繼續使用該平台。

新政策在一篇博文中公佈  作者:GitHub 首席安全官 (CSO) Mike Hanley,他強調了微軟專有平台在保護軟件開發過程的完整性免受惡意行為者控制的威脅方面的作用。 的開發者帳戶。

當然,開發者的用戶體驗也是考慮在內的,Mike Hanley 強調這個要求不會傷害到你:

“GitHub 致力於確保強大的帳戶安全性不會以犧牲出色的開發人員體驗為代價,而我們 2023 年底的目標使我們有機會為此進行優化。 隨著標準的發展,我們將繼續積極探索安全認證用戶的新方法,包括無密碼認證。 世界各地的開發者可以期待更多的身份驗證和帳戶恢復選項,以及

儘管多因素身份驗證提供了額外的保護 對在線帳戶意義重大, GitHub 內部研究顯示,只有 16,5% 的活躍用戶 (大約六分之一) 目前啟用增強的安全措施 在他們的賬戶上,這個數字非常低,因為來自用戶群的平台必須意識到僅密碼保護的風險。

通過引導這些用戶達到更高的最低標準 帳戶保護,GitHub 希望加強整體安全 整個軟件開發社區。

“在 2021 年 2 月,由於未啟用 XNUMXFA 的開發人員帳戶遭到入侵,GitHub 在收購 npm 軟件包後承諾對 npm 帳戶安全進行新的投資。 我們繼續改進 npm 帳戶安全性,並致力於通過 GitHub 保護開發者帳戶。

“大多數安全漏洞不是奇異零日攻擊的產物,而是涉及低成本攻擊,例如社會工程、憑據盜竊或洩漏,以及使攻擊者能夠廣泛訪問受害者帳戶和資源的其他途徑他們使用。 有權訪問。 被入侵的帳戶可用於竊取私有代碼或對該代碼進行惡意更改。 這不僅會暴露與受感染帳戶相關的人員和組織,還會暴露受影響代碼的所有用戶。 因此,下游對更廣泛的軟件生態系統和供應鏈的影響是巨大的。

已經做了一個實驗 僅佔 GitHub 平台用戶子集的一小部分 已經開創了一個先例,要求使用具有較小子集的 2FA 平台用戶,在與 npm 包管理軟件分發的流行 JavaScript 庫的貢獻者一起測試之後。

由於廣泛使用的 npm 包每周可以下載數百萬次,因此它們是惡意軟件運營商非常有吸引力的目標。 在某些情況下,黑客入侵了 npm 貢獻者的帳戶,並使用它們來發布由密碼竊取者和加密礦工安裝的軟件更新。

作為回應,GitHub 自 100 年 2022 月起對前 500 個 npm 包的維護者強制執行雙重身份驗證。該公司計劃在 XNUMX 月底之前將同樣的要求擴展到前 XNUMX 個包的貢獻者。

一般來說, 這意味著設定一個很長的期限來強制使用 2FA 漢利說,在整個網站上設計各種入職流程,以推動用戶在 2024 年截止日期之前採用。

保護開源軟件的安全仍然是軟件行業的一個緊迫問題,尤其是在去年的 log4j 漏洞之後。 但儘管 GitHub 的新政策將減輕一些威脅,但係統性挑戰依然存在:許多開源軟件項目仍由無償志願者維護,縮小資金缺口被視為整個科技行業的主要問題。

終於 如果您有興趣了解更多信息,您可以查看詳細信息 在下面的鏈接中。


成為第一個發表評論

發表您的評論

您的電子郵件地址將不會被發表。 必填字段標有 *

*

*

  1. 負責數據:MiguelÁngelGatón
  2. 數據用途:控制垃圾郵件,註釋管理。
  3. 合法性:您的同意
  4. 數據通訊:除非有法律義務,否則不會將數據傳達給第三方。
  5. 數據存儲:Occentus Networks(EU)託管的數據庫
  6. 權利:您可以隨時限制,恢復和刪除您的信息。