GitHub annoncerede et skridt til at kræve to-faktor-godkendelse for alle brugere, der udgiver kode på GitHub.com. På den første fase i marts 2023 vil obligatorisk to-faktor autentificering begynde at gælde for visse grupper af brugere, og gradvist dække flere og flere nye kategorier.
Ændringen vil primært påvirke udviklere, der udgiver pakker, OAuth-applikationer og GitHub-handlere, skaber udgivelser, deltager i udviklingen af projekter, der er kritiske for npm-, OpenSSF-, PyPI- og RubyGems-økosystemerne, såvel som dem, der er involveret i arbejdet med de fire millioner mest populære depoter. Ved udgangen af 2023 har GitHub til hensigt fuldstændigt at deaktivere muligheden for alle brugere til at skubbe ændringer uden at bruge to-faktor-godkendelse. Efterhånden som tidspunktet for overgangen til to-faktor-godkendelse nærmer sig, vil brugerne få tilsendt e-mail-meddelelser, og advarsler vil blive vist i grænsefladen.
Det nye krav vil styrke beskyttelsen af udviklingsprocessen og beskytte repositories mod ondsindede ændringer som følge af lækkede legitimationsoplysninger, brug af den samme adgangskode på et kompromitteret websted, hacking af udviklerens lokale system eller brug af social engineering-metoder. Ifølge GitHub er angribere, der får adgang til depoter som følge af kontoovertagelse, en af de farligste trusler, da der i tilfælde af et vellykket angreb kan foretages skjulte ændringer af populære produkter og biblioteker, der bruges som afhængigheder.
Derudover kan vi notere begyndelsen på at give alle brugere af offentlige repositories på GitHub en gratis service til sporing af utilsigtet offentliggørelse af fortrolige data, såsom krypteringsnøgler, DBMS-adgangskoder og API-adgangstokens. I alt er mere end 200 skabeloner blevet implementeret til at identificere forskellige typer nøgler, tokens, certifikater og legitimationsoplysninger. For at eliminere falske positiver kontrolleres kun garanterede tokentyper. Frem til slutningen af januar vil muligheden kun være tilgængelig for deltagere i beta-testprogrammet, hvorefter alle vil kunne bruge tjenesten.
Kilde: opennet.ru