أعلن GitHub عن الانتقال إلى المصادقة الثنائية الإلزامية لجميع المستخدمين الذين يقومون بنشر التعليمات البرمجية على GitHub.com. في المرحلة الأولى ، في مارس 2023 ، سيتم تطبيق المصادقة الثنائية الإلزامية على مجموعات معينة من المستخدمين ، بحيث تغطي تدريجياً المزيد والمزيد من الفئات الجديدة.
بادئ ذي بدء ، سيؤثر التغيير على المطورين الذين ينشرون الحزم ، وتطبيقات OAuth ومعالجات GitHub ، وإصدارات النماذج ، والمشاركة في تطوير المشاريع الحاسمة للأنظمة البيئية npm و OpenSSF و PyPI و RubyGems ، بالإضافة إلى المشاركين في العمل على أربعة مليون من أكثر المستودعات شهرة. حتى نهاية عام 2023 ، يعتزم GitHub تعطيل قدرة جميع المستخدمين تمامًا على إرسال التغييرات دون استخدام المصادقة الثنائية. مع اقتراب لحظة الانتقال إلى المصادقة الثنائية ، سيتم إرسال إشعارات بالبريد الإلكتروني للمستخدمين وسيتم عرض التحذيرات في الواجهة.
سيزيد المتطلب الجديد من أمان عملية التطوير ويؤمن المستودعات من التغييرات الضارة بسبب بيانات الاعتماد المسربة ، أو استخدام نفس كلمة المرور على موقع مخترق ، أو اختراق النظام المحلي للمطور ، أو استخدام أساليب الهندسة الاجتماعية. وفقًا لـ GitHub ، يعد الوصول إلى المستودعات من قبل المهاجمين نتيجة لاختطاف الحساب أحد أخطر التهديدات ، لأنه في حالة حدوث هجوم ناجح ، يمكن إجراء تغييرات مخفية في المنتجات والمكتبات الشائعة المستخدمة كتبعيات.
بالإضافة إلى ذلك ، يمكننا أن نلاحظ بداية تزويد جميع مستخدمي المستودعات العامة على GitHub بخدمة مجانية لتتبع النشر العرضي للبيانات السرية ، مثل مفاتيح التشفير وكلمات المرور لنظام إدارة قواعد البيانات ورموز الوصول إلى واجهة برمجة التطبيقات. في المجموع ، تم تنفيذ أكثر من 200 نموذج لتحديد أنواع مختلفة من المفاتيح والرموز والشهادات وبيانات الاعتماد. لتجنب الإيجابيات الخاطئة ، يتم فحص أنواع الرموز المضمونة فقط. حتى نهاية شهر يناير ، ستكون الفرصة متاحة فقط للمشاركين في برنامج الاختبار التجريبي ، وبعد ذلك سيتمكن الجميع من استخدام الخدمة.
المصدر: opennet.ru