GitHub обяви началото на поетапен преход на всички потребители, публикуващи код, към задължително двуфакторно удостоверяване. От 13 март задължителното двуфакторно удостоверяване ще започне да се прилага за определени групи потребители, като постепенно ще обхваща все повече и повече нови категории. На първо място, двуфакторното удостоверяване ще стане задължително за разработчиците, публикуващи пакети, OAuth приложения и манипулатори на GitHub, създаващи версии, участващи в разработването на проекти, критични за екосистемите npm, OpenSSF, PyPI и RubyGems, както и за тези, които участват в работата в четирите милиона най-популярни хранилища.
До края на 2023 г. GitHub вече няма да позволява на всички потребители да изпращат промени без да използват двуфакторно удостоверяване. С наближаването на момента на преминаване към двуфакторно удостоверяване, на потребителите ще се изпращат известия по имейл и в интерфейса ще се показват предупреждения. След изпращане на първото предупреждение, разработчикът получава 45 дни за настройка на двуфакторно удостоверяване.
За двуфакторно удостоверяване можете да използвате мобилно приложение, SMS потвърждение или да прикачите ключ за достъп. За двуфакторно удостоверяване препоръчваме да използвате приложения, които генерират ограничени във времето еднократни пароли (TOTP), като Authy, Google Authenticator и FreeOTP като предпочитана опция.
Използването на двуфакторно удостоверяване ще подобри защитата на процеса на разработка и ще защити хранилищата от злонамерени промени в резултат на изтекли идентификационни данни, използване на същата парола на компрометиран сайт, хакване на локалната система на програмиста или използване на социални инженерни методи. Според GitHub нападателите, които получават достъп до хранилища в резултат на превземане на акаунт, е една от най-опасните заплахи, тъй като в случай на успешна атака могат да бъдат направени злонамерени промени в популярни продукти и библиотеки, използвани като зависимости.
Източник: opennet.ru