Gipahibalo sa GitHub ang usa ka lakang nga nanginahanglan og duha ka hinungdan nga pag-authenticate alang sa tanan nga mga tiggamit nga nagpatik sa code sa GitHub.com. Sa unang yugto sa Marso 2023, ang mandatory two-factor authentication magsugod sa paggamit sa pipila ka mga grupo sa mga tiggamit, nga anam-anam nga naglangkob sa dugang ug mas bag-ong mga kategoriya.
Ang pagbag-o sa panguna makaapekto sa mga nag-develop nga nagpatik sa mga pakete, mga aplikasyon sa OAuth ug mga tigdumala sa GitHub, nagmugna og mga pagpagawas, nag-apil sa pag-uswag sa mga proyekto nga kritikal sa npm, OpenSSF, PyPI ug RubyGems nga ekosistema, ingon man kadtong nalambigit sa pagtrabaho sa upat ka milyon nga labing inila. mga tipiganan. Sa katapusan sa 2023, gitinguha sa GitHub nga hingpit nga i-disable ang abilidad sa tanan nga mga tiggamit sa pagduso sa mga pagbag-o nga wala gigamit ang duha ka hinungdan nga panghimatuud. Samtang nagkaduol ang panahon sa pagbalhin ngadto sa duha ka hinungdan nga panghimatuud, ang mga tiggamit ipadala mga pahibalo sa email ug ang mga pasidaan ipakita sa interface.
Ang bag-ong kinahanglanon makapalig-on sa pagpanalipod sa proseso sa pag-uswag ug pagpanalipod sa mga repositoryo gikan sa malisyosong mga pagbag-o isip resulta sa mga leaked nga kredensyal, paggamit sa samang password sa usa ka nakompromiso nga site, pag-hack sa lokal nga sistema sa developer, o paggamit sa mga pamaagi sa social engineering. Sumala sa GitHub, ang mga tig-atake nga naka-access sa mga repositoryo ingon usa ka sangputanan sa pagkuha sa account usa sa labing peligro nga mga hulga, tungod kay kung adunay usa ka malampuson nga pag-atake, ang mga tinago nga pagbag-o mahimo sa mga sikat nga produkto ug mga librarya nga gigamit ingon mga dependency.
Dugang pa, mamatikdan nato ang sinugdanan sa paghatag sa tanang tiggamit sa mga pampublikong repositoryo sa GitHub og libre nga serbisyo alang sa pagsubay sa aksidenteng pagmantala sa kompidensyal nga datos, sama sa mga encryption key, DBMS password ug API access tokens. Sa kinatibuk-an, labaw pa sa 200 ka mga templates ang gipatuman aron sa pag-ila sa lain-laing mga matang sa mga yawe, mga token, mga sertipiko ug mga kredensyal. Aron mawagtang ang mga bakak nga positibo, ang mga garantisadong tipo sa token lamang ang gisusi. Hangtud sa katapusan sa Enero, ang oportunidad magamit ra sa mga partisipante sa beta testing nga programa, pagkahuman ang tanan makagamit sa serbisyo.
Source: opennet.ru