GitHub ha anunciat l'inici d'una transició gradual de tots els usuaris que publiquen codi a l'autenticació obligatòria de dos factors. A partir del 13 de març, l'autenticació obligatòria de dos factors començarà a aplicar-se a determinats grups d'usuaris, abastant progressivament més i més categories noves. En primer lloc, l'autenticació de dos factors serà obligatòria per als desenvolupadors que publiquen paquets, aplicacions OAuth i gestors de GitHub, creen versions, participen en el desenvolupament de projectes crítics per als ecosistemes npm, OpenSSF, PyPI i RubyGems, així com els que participen en el treball. als quatre milions de repositoris més populars.
Fins a finals de 2023, GitHub ja no permetrà que tots els usuaris facin canvis sense utilitzar l'autenticació de dos factors. A mesura que s'acosta el moment de la transició a l'autenticació de dos factors, els usuaris rebran notificacions per correu electrònic i es mostraran advertències a la interfície. Després d'enviar el primer avís, el desenvolupador té 45 dies per configurar l'autenticació de dos factors.
Per a l'autenticació de dos factors, podeu utilitzar una aplicació mòbil, una verificació per SMS o adjuntar una clau d'accés. Per a l'autenticació de dos factors, us recomanem que utilitzeu com a opció preferida aplicacions que generin contrasenyes d'un sol ús (TOTP) de temps limitat, com ara Authy, Google Authenticator i FreeOTP.
L'ús de l'autenticació de dos factors millorarà la protecció del procés de desenvolupament i protegirà els dipòsits de canvis maliciosos com a resultat de la filtració de credencials, l'ús de la mateixa contrasenya en un lloc compromès, la pirateria del sistema local del desenvolupador o l'ús de xarxes socials. mètodes d'enginyeria. Segons GitHub, els atacants que accedeixen als repositoris com a conseqüència de la presa de possessió del compte és una de les amenaces més perilloses, ja que en cas d'un atac reeixit, es poden fer canvis maliciosos als productes i biblioteques populars utilitzats com a dependències.
Font: opennet.ru