GitHub annoncerede starten på en trinvis overgang af alle brugere, der udgiver kode, til obligatorisk to-faktor-autentificering. Fra den 13. marts vil obligatorisk to-faktor-autentificering blive anvendt for visse brugergrupper, der gradvist dækker flere og flere nye kategorier. Først og fremmest vil tofaktorautentificering blive obligatorisk for udviklere, der udgiver pakker, OAuth-applikationer og GitHub-handlere, formularudgivelser, deltager i udviklingen af projekter, der er kritiske for npm-, OpenSSF-, PyPI- og RubyGems-økosystemerne, såvel som dem, der er involveret i arbejde på fire millioner af de mest populære depoter.
Indtil udgangen af 2023 vil GitHub ikke længere være i stand til at skubbe ændringer uden at bruge to-faktor-godkendelse for alle brugere. Når tidspunktet for overgangen til tofaktorautentificering nærmer sig, vil brugerne få tilsendt e-mail-meddelelser, og advarsler vil blive vist i grænsefladen. Efter at have sendt den første advarsel, får udvikleren 45 dage til at konfigurere to-faktor-godkendelse.
Til to-faktor-godkendelse kan du bruge mobilappen, SMS-bekræftelse eller vedhæfte en adgangsnøgle. Apps, der genererer engangsadgangskoder med en begrænset udløbsdato (TOTP), såsom Authy, Google Authenticator og FreeOTP, anbefales som en prioritet for to-faktor-godkendelse.
Brugen af to-faktor autentificering vil øge sikkerheden i udviklingsprocessen og sikre depoter mod at foretage ondsindede ændringer som følge af lækkede legitimationsoplysninger, bruge den samme adgangskode på et kompromitteret websted, hacke udviklerens lokale system eller bruge social engineering-metoder. Ifølge GitHub er det at få adgang til arkiver af angribere som følge af kontokapring en af de farligste trusler, da der i tilfælde af et vellykket angreb kan foretages ondsindede ændringer i populære produkter og biblioteker, der bruges som afhængigheder.
Kilde: opennet.ru