Το GitHub ανακοίνωσε μια κίνηση για την απαίτηση ελέγχου ταυτότητας δύο παραγόντων για όλους τους χρήστες που δημοσιεύουν κώδικα στο GitHub.com. Στο πρώτο στάδιο, τον Μάρτιο του 2023, ο υποχρεωτικός έλεγχος ταυτότητας δύο παραγόντων θα αρχίσει να εφαρμόζεται σε ορισμένες ομάδες χρηστών, καλύπτοντας σταδιακά όλο και περισσότερες νέες κατηγορίες.
Η αλλαγή θα επηρεάσει κυρίως τους προγραμματιστές που δημοσιεύουν πακέτα, εφαρμογές OAuth και χειριστές GitHub, δημιουργούν εκδόσεις, συμμετέχουν στην ανάπτυξη έργων κρίσιμων για τα οικοσυστήματα npm, OpenSSF, PyPI και RubyGems, καθώς και όσους ασχολούνται με την εργασία στα τέσσερα εκατομμύρια πιο δημοφιλή αποθετήρια. Μέχρι το τέλος του 2023, το GitHub σκοπεύει να απενεργοποιήσει πλήρως τη δυνατότητα για όλους τους χρήστες να προωθήσουν αλλαγές χωρίς τη χρήση ελέγχου ταυτότητας δύο παραγόντων. Καθώς πλησιάζει η στιγμή της μετάβασης στον έλεγχο ταυτότητας δύο παραγόντων, οι χρήστες θα λαμβάνουν ειδοποιήσεις μέσω email και θα εμφανίζονται προειδοποιήσεις στη διεπαφή.
Η νέα απαίτηση θα ενισχύσει την προστασία της διαδικασίας ανάπτυξης και θα προστατεύσει τα αποθετήρια από κακόβουλες αλλαγές ως αποτέλεσμα διαπιστευτηρίων που διέρρευσαν, χρήσης του ίδιου κωδικού πρόσβασης σε παραβιασμένο ιστότοπο, παραβίασης του τοπικού συστήματος του προγραμματιστή ή χρήσης μεθόδων κοινωνικής μηχανικής. Σύμφωνα με το GitHub, οι εισβολείς που αποκτούν πρόσβαση σε αποθετήρια ως αποτέλεσμα της κατάληψης λογαριασμού είναι μια από τις πιο επικίνδυνες απειλές, καθώς σε περίπτωση επιτυχούς επίθεσης, μπορούν να γίνουν κρυφές αλλαγές σε δημοφιλή προϊόντα και βιβλιοθήκες που χρησιμοποιούνται ως εξαρτήσεις.
Επιπλέον, μπορούμε να σημειώσουμε την αρχή της παροχής σε όλους τους χρήστες δημόσιων αποθετηρίων στο GitHub μιας δωρεάν υπηρεσίας για την παρακολούθηση της τυχαίας δημοσίευσης εμπιστευτικών δεδομένων, όπως κλειδιά κρυπτογράφησης, κωδικούς πρόσβασης DBMS και διακριτικά πρόσβασης API. Συνολικά, περισσότερα από 200 πρότυπα έχουν εφαρμοστεί για τον εντοπισμό διαφορετικών τύπων κλειδιών, διακριτικών, πιστοποιητικών και διαπιστευτηρίων. Για να εξαλειφθούν τα ψευδώς θετικά, ελέγχονται μόνο οι εγγυημένοι τύποι διακριτικών. Μέχρι το τέλος Ιανουαρίου, η ευκαιρία θα είναι διαθέσιμη μόνο σε συμμετέχοντες στο πρόγραμμα δοκιμών beta, μετά το οποίο όλοι θα μπορούν να χρησιμοποιούν την υπηρεσία.
Πηγή: opennet.ru