GitHub oznámil krok, který vyžaduje dvoufaktorovou autentizaci pro všechny uživatele publikující kód na GitHub.com. V první fázi v březnu 2023 se pro určité skupiny uživatelů začne vztahovat povinná dvoufaktorová autentizace, která postupně pokryje stále nové a nové kategorie.
Změna se dotkne především vývojářů, kteří publikují balíčky, aplikace OAuth a GitHub handlery, vytvářejí vydání, podílejí se na vývoji projektů důležitých pro ekosystémy npm, OpenSSF, PyPI a RubyGems, a také ty, kteří se podílejí na práci na čtyřech milionech nejpopulárnějších úložišť. Do konce roku 2023 hodlá GitHub zcela zakázat všem uživatelům možnost prosazovat změny bez použití dvoufaktorové autentizace. S blížícím se okamžikem přechodu na dvoufaktorovou autentizaci budou uživatelům zasílána e-mailová upozornění a v rozhraní se budou zobrazovat varování.
Nový požadavek posílí ochranu vývojového procesu a ochrání úložiště před škodlivými změnami v důsledku úniku přihlašovacích údajů, použití stejného hesla na kompromitovaném webu, hackování místního systému vývojáře nebo použití metod sociálního inženýrství. Podle GitHubu jsou útočníci, kteří získají přístup k úložištím v důsledku převzetí účtu, jednou z nejnebezpečnějších hrozeb, protože v případě úspěšného útoku lze provést skryté změny v oblíbených produktech a knihovnách používaných jako závislosti.
Navíc můžeme zaznamenat začátek poskytování bezplatné služby všem uživatelům veřejných úložišť na GitHubu pro sledování náhodného zveřejnění důvěrných dat, jako jsou šifrovací klíče, hesla DBMS a tokeny pro přístup k API. Celkem bylo implementováno více než 200 šablon k identifikaci různých typů klíčů, tokenů, certifikátů a pověření. Aby se eliminovaly falešné poplachy, kontrolují se pouze zaručené typy tokenů. Do konce ledna budou mít možnost pouze účastníci beta testovacího programu, poté budou moci službu využívat všichni.
Zdroj: opennet.ru