GitHub anunció una medida para requerir autenticación de dos factores para todos los usuarios que publiquen código en GitHub.com. En una primera etapa, en marzo de 2023, la autenticación obligatoria de dos factores comenzará a aplicarse a ciertos grupos de usuarios, cubriendo gradualmente más y más categorías nuevas.
El cambio afectará principalmente a los desarrolladores que publican paquetes, aplicaciones OAuth y controladores de GitHub, crean lanzamientos, participan en el desarrollo de proyectos críticos para los ecosistemas npm, OpenSSF, PyPI y RubyGems, así como a aquellos involucrados en el trabajo en los cuatro millones de los más populares. repositorios. Para finales de 2023, GitHub tiene la intención de deshabilitar por completo la capacidad de todos los usuarios de realizar cambios sin utilizar la autenticación de dos factores. A medida que se acerque el momento de la transición a la autenticación de dos factores, los usuarios recibirán notificaciones por correo electrónico y se mostrarán advertencias en la interfaz.
El nuevo requisito fortalecerá la protección del proceso de desarrollo y protegerá los repositorios de cambios maliciosos como resultado de credenciales filtradas, uso de la misma contraseña en un sitio comprometido, piratería del sistema local del desarrollador o uso de métodos de ingeniería social. Según GitHub, el acceso de los atacantes a los repositorios como resultado de la apropiación de cuentas es una de las amenazas más peligrosas, ya que, en caso de un ataque exitoso, se pueden realizar cambios ocultos en productos y bibliotecas populares utilizados como dependencias.
Además, podemos destacar el comienzo de proporcionar a todos los usuarios de repositorios públicos en GitHub un servicio gratuito para rastrear la publicación accidental de datos confidenciales, como claves de cifrado, contraseñas DBMS y tokens de acceso API. En total se han implementado más de 200 plantillas para identificar diferentes tipos de claves, tokens, certificados y credenciales. Para eliminar falsos positivos, solo se verifican los tipos de tokens garantizados. Hasta finales de enero, la oportunidad estará disponible sólo para los participantes del programa de prueba beta, después de lo cual todos podrán utilizar el servicio.
Fuente: opennet.ru