GitHub обяви преход към задължително двуфакторно удостоверяване за всички потребители, публикуващи код на GitHub.com. На първия етап, през март 2023 г., задължителното двуфакторно удостоверяване ще започне да се прилага за определени потребителски групи, като постепенно ще обхваща все повече и повече нови категории.
На първо място, промяната ще засегне разработчиците, които публикуват пакети, OAuth приложения и манипулатори на GitHub, издания на формуляри, участват в разработването на проекти, критични за екосистемите npm, OpenSSF, PyPI и RubyGems, както и тези, които участват в работата по четири милиона от най-популярните хранилища. До края на 2023 г. GitHub възнамерява напълно да деактивира възможността за всички потребители да изпращат промени без използване на двуфакторно удостоверяване. С наближаването на момента на преминаване към двуфакторно удостоверяване, на потребителите ще се изпращат известия по имейл и в интерфейса ще се показват предупреждения.
Новото изискване ще увеличи сигурността на процеса на разработка и ще защити хранилищата от злонамерени промени поради изтекли идентификационни данни, използване на същата парола на компрометиран сайт, хакване на локалната система на разработчика или използване на методи за социално инженерство. Според GitHub получаването на достъп до хранилища от нападатели в резултат на отвличане на акаунт е една от най-опасните заплахи, тъй като в случай на успешна атака могат да бъдат извършени скрити промени в популярни продукти и библиотеки, използвани като зависимости.
Освен това можем да отбележим началото на предоставянето на всички потребители на публични хранилища в GitHub на безплатна услуга за проследяване на случайно публикуване на поверителни данни, като ключове за криптиране, пароли за СУБД и токени за достъп до API. Общо са внедрени повече от 200 шаблона за идентифициране на различни видове ключове, токени, сертификати и идентификационни данни. За да се избегнат фалшиви положителни резултати, се проверяват само гарантирани типове токени. До края на януари възможността ще имат само участниците в програмата за бета тестване, след което всеки ще може да използва услугата.
Източник: opennet.ru