Το GitHub ανακοίνωσε την έναρξη μιας σταδιακής μετάβασης όλων των χρηστών που δημοσιεύουν κώδικα σε υποχρεωτικό έλεγχο ταυτότητας δύο παραγόντων. Από τις 13 Μαρτίου, ο υποχρεωτικός έλεγχος ταυτότητας δύο παραγόντων θα αρχίσει να εφαρμόζεται σε ορισμένες ομάδες χρηστών, καλύπτοντας σταδιακά όλο και περισσότερες νέες κατηγορίες. Πρώτα απ 'όλα, ο έλεγχος ταυτότητας δύο παραγόντων θα γίνει υποχρεωτικός για προγραμματιστές που δημοσιεύουν πακέτα, εφαρμογές OAuth και χειριστές GitHub, δημιουργούν εκδόσεις, συμμετέχουν στην ανάπτυξη έργων κρίσιμων για τα οικοσυστήματα npm, OpenSSF, PyPI και RubyGems, καθώς και για όσους εμπλέκονται στην εργασία στα τέσσερα εκατομμύρια πιο δημοφιλή αποθετήρια.
Μέχρι το τέλος του 2023, το GitHub δεν θα επιτρέπει πλέον σε όλους τους χρήστες να προωθούν αλλαγές χωρίς τη χρήση ελέγχου ταυτότητας δύο παραγόντων. Καθώς πλησιάζει η στιγμή της μετάβασης στον έλεγχο ταυτότητας δύο παραγόντων, οι χρήστες θα λαμβάνουν ειδοποιήσεις μέσω email και θα εμφανίζονται προειδοποιήσεις στη διεπαφή. Μετά την αποστολή της πρώτης προειδοποίησης, δίνεται στον προγραμματιστή 45 ημέρες για να ρυθμίσει τον έλεγχο ταυτότητας δύο παραγόντων.
Για έλεγχο ταυτότητας δύο παραγόντων, μπορείτε να χρησιμοποιήσετε μια εφαρμογή για κινητά, επαλήθευση SMS ή να επισυνάψετε ένα κλειδί πρόσβασης. Για έλεγχο ταυτότητας δύο παραγόντων, συνιστούμε να χρησιμοποιείτε εφαρμογές που δημιουργούν κωδικούς πρόσβασης μίας χρήσης (TOTP), όπως Authy, Google Authenticator και FreeOTP ως προτιμώμενη επιλογή.
Η χρήση του ελέγχου ταυτότητας δύο παραγόντων θα ενισχύσει την προστασία της διαδικασίας ανάπτυξης και θα προστατεύσει τα αποθετήρια από κακόβουλες αλλαγές ως αποτέλεσμα διαπιστευτηρίων που έχουν διαρρεύσει, χρήσης του ίδιου κωδικού πρόσβασης σε παραβιασμένο ιστότοπο, παραβίασης του τοπικού συστήματος του προγραμματιστή ή χρήσης κοινωνικών μηχανολογικές μεθόδους. Σύμφωνα με το GitHub, οι εισβολείς που αποκτούν πρόσβαση σε αποθετήρια ως αποτέλεσμα της κατάληψης λογαριασμού είναι μια από τις πιο επικίνδυνες απειλές, καθώς σε περίπτωση επιτυχούς επίθεσης, μπορούν να γίνουν κακόβουλες αλλαγές σε δημοφιλή προϊόντα και βιβλιοθήκες που χρησιμοποιούνται ως εξαρτήσεις.
Πηγή: opennet.ru