GitHub kündigte an, eine Zwei-Faktor-Authentifizierung für alle Benutzer zu verlangen, die Code auf GitHub.com veröffentlichen. Im ersten Schritt im März 2023 wird die verpflichtende Zwei-Faktor-Authentifizierung für bestimmte Nutzergruppen gelten und nach und nach immer mehr neue Kategorien abdecken.
Die Änderung betrifft vor allem Entwickler, die Pakete, OAuth-Anwendungen und GitHub-Handler veröffentlichen, Releases erstellen, an der Entwicklung von Projekten beteiligt sind, die für die Ökosysteme npm, OpenSSF, PyPI und RubyGems von entscheidender Bedeutung sind, sowie diejenigen, die an der Arbeit an den vier Millionen beliebtesten beteiligt sind Repositories. Bis Ende 2023 will GitHub die Möglichkeit für alle Benutzer, Änderungen ohne Verwendung der Zwei-Faktor-Authentifizierung zu pushen, vollständig deaktivieren. Sobald der Übergang zur Zwei-Faktor-Authentifizierung näher rückt, werden den Benutzern E-Mail-Benachrichtigungen gesendet und Warnungen in der Benutzeroberfläche angezeigt.
Die neue Anforderung wird den Schutz des Entwicklungsprozesses stärken und Repositorys vor böswilligen Änderungen schützen, die durch den Verlust von Anmeldeinformationen, die Verwendung desselben Passworts auf einer kompromittierten Website, das Hacken des lokalen Systems des Entwicklers oder den Einsatz von Social-Engineering-Methoden entstehen. Laut GitHub ist der Zugriff von Angreifern auf Repositories durch die Kontoübernahme eine der gefährlichsten Bedrohungen, da im Falle eines erfolgreichen Angriffs versteckte Änderungen an beliebten Produkten und Bibliotheken vorgenommen werden können, die als Abhängigkeiten dienen.
Darüber hinaus können wir den Beginn der Bereitstellung eines kostenlosen Dienstes für alle Benutzer öffentlicher Repositories auf GitHub zur Verfolgung der versehentlichen Veröffentlichung vertraulicher Daten wie Verschlüsselungsschlüssel, DBMS-Passwörter und API-Zugriffstoken verzeichnen. Insgesamt wurden mehr als 200 Vorlagen implementiert, um verschiedene Arten von Schlüsseln, Token, Zertifikaten und Anmeldeinformationen zu identifizieren. Um Fehlalarme auszuschließen, werden nur garantierte Tokentypen überprüft. Bis Ende Januar steht die Möglichkeit nur Teilnehmern des Betatestprogramms zur Verfügung, danach kann jeder den Dienst nutzen.
Source: opennet.ru