GitHub анансаваў пераклад на абавязковую двухфактарную аўтэнтыфікацыю ўсіх карыстальнікаў, якія публікуюць код на GitHub.com. На першым этапе ў сакавіку 2023 года абавязковая двухфактарная аўтэнтыфікацыя пачне прымяняцца для асобных груп карыстальнікаў, паступова ахопліваючы ўсё новыя і новыя катэгорыі.
У першую чаргу змяненне закране распрацоўшчыкаў, якія публікуюць пакеты, OAuth-прыкладанні і GitHub-апрацоўшчыкі, якія фарміруюць рэлізы, якія ўдзельнічаюць у распрацоўцы праектаў, крытычна важных для экасістэм npm, OpenSSF, PyPI і RubyGems, а таксама ўцягнутых у працу над чатырма самых папулярных. Да канца 2023 гады GitHub мае намер цалкам забараніць для ўсіх карыстачоў магчымасць адпраўкі змен без ужывання двухфактарнай аўтэнтыфікацыі. Па меры набліжэння моманту пераводу на двухфактарную аўтэнтыфікацыю карыстальнікам будуць накіроўвацца email-паведамленні і выводзіцца папярэджанні ў інтэрфейсе.
Новае патрабаванне дасць магчымасць узмацніць абарону працэсу распрацоўкі і засцерагчы рэпазітары ад унясення шкоднасных змяненняў у выніку ўцечкі ўліковых даных, выкарыстання таго ж пароля на скампраметаваным сайце, узломаў лакальнай сістэмы распрацоўшчыка або прымянення метадаў сацыяльнага інжынірынгу. Па меркаванні GitHub атрыманне зламыснікамі доступу да рэпазітараў у выніку захопу ўліковых запісаў з'яўляецца адной з найболей небяспечных пагроз, бо ў выпадку паспяховага нападу можа быць ажыццёўлена падстаноўка ўтоеных змен у папулярныя прадукты і бібліятэкі, выкарыстоўваныя ў якасці залежнасцяў.
Дадаткова можна адзначыць пачатак прадастаўлення ўсім карыстальнікам публічных рэпазітароў на GitHub бясплатнага сэрвісу па адсочванні выпадковай публікацыі канфідэнцыйных дадзеных, такіх як ключы шыфравання, паролі да СКБД і токены доступу да API. Усяго рэалізавана больш за 200 шаблонаў для выяўлення розных відаў ключоў, токенаў, сертыфікатаў і ўліковых даных. Для выключэння ілжывых спрацоўванняў правяраюцца толькі гарантавана вызначаныя тыпы токенаў. Да канца студзеня магчымасць будзе даступная толькі для ўдзельнікаў праграмы бэта-тэставанні, пасля чаго сэрвісам змогуць скарыстацца ўсё жадаючыя.
Крыніца: opennet.ru