GitHub je najavio početak faznog prijelaza svih korisnika koji objavljuju kod na obaveznu dvofaktorsku autentifikaciju. Od 13. marta će se primjenjivati obavezna dvofaktorska autentifikacija za određene grupe korisnika, postepeno pokrivajući sve više novih kategorija. Prije svega, dvofaktorska autentifikacija će postati obavezna za programere koji objavljuju pakete, OAuth aplikacije i GitHub rukovaoce, izdaju obrasce, učestvuju u razvoju projekata kritičnih za npm, OpenSSF, PyPI i RubyGems ekosisteme, kao i one koji su uključeni u rade na četiri miliona najpopularnijih repozitorija.
Do kraja 2023. GitHub više neće moći unositi promjene bez korištenja dvofaktorske autentifikacije za sve korisnike. Kako se približava trenutak prelaska na dvofaktorsku autentifikaciju, korisnicima će biti poslana obavještenja putem e-pošte, a upozorenja će biti prikazana u interfejsu. Nakon što se pošalje prvo upozorenje, programer ima 45 dana da postavi dvofaktorsku autentifikaciju.
Za dvofaktorsku autentifikaciju možete koristiti mobilnu aplikaciju, SMS verifikaciju ili priložiti pristupni ključ. Aplikacije koje generiraju vremenski ograničene jednokratne lozinke (TOTP), kao što su Authy, Google Authenticator i FreeOTP, preporučuju se kao prioritet za dvofaktorsku autentifikaciju.
Upotreba dvofaktorske autentifikacije povećat će zaštitu razvojnog procesa i osigurati spremišta od unošenja zlonamjernih promjena kao rezultat curenja vjerodajnica, korištenja iste lozinke na kompromitovanoj web lokaciji, hakovanja lokalnog sistema programera ili korištenja metoda društvenog inženjeringa. Prema GitHub-u, dobijanje pristupa repozitorijumima od strane napadača kao rezultat otmice naloga je jedna od najopasnijih pretnji, jer u slučaju uspešnog napada mogu se izvršiti zlonamerne promene popularnih proizvoda i biblioteka koje se koriste kao zavisnosti.
izvor: opennet.ru