GitHub ha anunciado el inicio de una transición gradual para que todos los usuarios publiquen código a la autenticación obligatoria de dos factores. A partir del 13 de marzo, la autenticación obligatoria de dos factores comenzará a aplicarse a ciertos grupos de usuarios, cubriendo gradualmente más y más categorías nuevas. En primer lugar, la autenticación de dos factores será obligatoria para los desarrolladores que publiquen paquetes, aplicaciones OAuth y controladores de GitHub, creen lanzamientos, participen en el desarrollo de proyectos críticos para los ecosistemas npm, OpenSSF, PyPI y RubyGems, así como para aquellos involucrados en el trabajo. en los cuatro millones de repositorios más populares.
Hasta finales de 2023, GitHub ya no permitirá que todos los usuarios realicen cambios sin utilizar la autenticación de dos factores. A medida que se acerque el momento de la transición a la autenticación de dos factores, los usuarios recibirán notificaciones por correo electrónico y se mostrarán advertencias en la interfaz. Después de enviar la primera advertencia, el desarrollador tiene 45 días para configurar la autenticación de dos factores.
Para la autenticación de dos factores, puede utilizar una aplicación móvil, verificación por SMS o adjuntar una clave de acceso. Para la autenticación de dos factores, recomendamos utilizar aplicaciones que generen contraseñas de un solo uso por tiempo limitado (TOTP), como Authy, Google Authenticator y FreeOTP como su opción preferida.
El uso de la autenticación de dos factores mejorará la protección del proceso de desarrollo y protegerá los repositorios de cambios maliciosos como resultado de credenciales filtradas, el uso de la misma contraseña en un sitio comprometido, la piratería del sistema local del desarrollador o el uso de redes sociales. métodos de ingeniería. Según GitHub, el acceso de los atacantes a los repositorios como resultado de la apropiación de cuentas es una de las amenazas más peligrosas, ya que, en caso de un ataque exitoso, se pueden realizar cambios maliciosos en productos y bibliotecas populares utilizados como dependencias.
Fuente: opennet.ru