GitHub, GitHub.com-da kodu dərc edən bütün istifadəçilər üçün iki faktorlu autentifikasiya tələb etmək üçün bir hərəkət elan etdi. 2023-cü ilin martında ilk mərhələdə məcburi iki faktorlu autentifikasiya getdikcə daha çox yeni kateqoriyaları əhatə edən müəyyən istifadəçi qruplarına tətbiq edilməyə başlayacaq.
Dəyişiklik ilk növbədə paketləri, OAuth proqramlarını və GitHub işləyicilərini dərc edən, relizlər yaradan, npm, OpenSSF, PyPI və RubyGems ekosistemləri üçün kritik layihələrin işlənib hazırlanmasında iştirak edən, həmçinin dörd milyon ən populyar proqram üzərində işlə məşğul olan tərtibatçılara təsir edəcək. depolar. 2023-cü ilin sonuna qədər GitHub bütün istifadəçilər üçün iki faktorlu autentifikasiyadan istifadə etmədən dəyişiklikləri təkan vermək imkanını tamamilə söndürmək niyyətindədir. İki faktorlu autentifikasiyaya keçid anı yaxınlaşdıqca istifadəçilərə e-poçt bildirişləri göndəriləcək və interfeysdə xəbərdarlıqlar göstəriləcək.
Yeni tələb inkişaf prosesinin mühafizəsini gücləndirəcək və sızan etimadnamələr, pozulmuş saytda eyni parolun istifadəsi, tərtibatçının yerli sisteminin sındırılması və ya sosial mühəndislik metodlarının istifadəsi nəticəsində repozitoriyaları zərərli dəyişikliklərdən qoruyacaq. GitHub-a görə, hesabın ələ keçirilməsi nəticəsində repozitoriyalara giriş əldə edən təcavüzkarlar ən təhlükəli təhdidlərdən biridir, çünki uğurlu hücum zamanı asılılıq kimi istifadə edilən populyar məhsullara və kitabxanalara gizli dəyişikliklər edilə bilər.
Əlavə olaraq, GitHub-da ictimai repozitoriyaların bütün istifadəçilərinə şifrələmə açarları, DBMS parolları və API giriş nişanları kimi məxfi məlumatların təsadüfən dərc edilməsini izləmək üçün pulsuz xidmətin təqdim edilməsinin başlanğıcını qeyd edə bilərik. Ümumilikdə, müxtəlif növ açarların, tokenlərin, sertifikatların və etimadnamələrin müəyyən edilməsi üçün 200-dən çox şablon tətbiq edilmişdir. Yanlış pozitivləri aradan qaldırmaq üçün yalnız zəmanətli token növləri yoxlanılır. Yanvarın sonuna qədər fürsət yalnız beta test proqramının iştirakçıları üçün olacaq və bundan sonra hər kəs xidmətdən istifadə edə biləcək.
Mənbə: opennet.ru