GitHub teatas sammust, mis nõuab kahefaktorilist autentimist kõigile kasutajatele, kes avaldavad koodi saidil GitHub.com. Esimeses etapis 2023. aasta märtsis hakkab teatud kasutajarühmadele kehtima kohustuslik kahefaktoriline autentimine, mis hõlmab järk-järgult üha uusi ja uusi kategooriaid.
Muudatus puudutab eelkõige arendajaid, kes avaldavad pakette, OAuthi rakendusi ja GitHubi töötlejaid, loovad väljalaseid, osalevad npm, OpenSSF, PyPI ja RubyGemsi ökosüsteemide jaoks kriitiliste projektide arendamisel, aga ka neid, kes tegelevad nelja miljoni populaarseimaga. hoidlad. 2023. aasta lõpuks kavatseb GitHub täielikult keelata kõigi kasutajate võimaluse muudatusi teha ilma kahefaktorilist autentimist kasutamata. Kahefaktorilisele autentimisele ülemineku hetkel saadetakse kasutajatele meiliteavitused ja liideses kuvatakse hoiatused.
Uus nõue tugevdab arendusprotsessi kaitset ja kaitseb hoidlaid pahatahtlike muudatuste eest, mis on tingitud volikirjade lekkimisest, sama parooli kasutamisest ohustatud saidil, arendaja kohaliku süsteemi häkkimisest või sotsiaalse manipuleerimise meetodite kasutamisest. GitHubi hinnangul on konto ülevõtmise tulemusel hoidlatele ligipääsetavad ründajad üks ohtlikumaid ohte, kuna eduka rünnaku korral saab populaarsetes toodetes ja sõltuvustena kasutatavates teekides teha varjatud muudatusi.
Lisaks võime märkida, et GitHubi avalike hoidlate kasutajatele hakatakse pakkuma tasuta teenust konfidentsiaalsete andmete, näiteks krüpteerimisvõtmete, DBMS-i paroolide ja API juurdepääsulubade juhusliku avaldamise jälgimiseks. Kokku on erinevat tüüpi võtmete, žetoonide, sertifikaatide ja mandaatide tuvastamiseks rakendatud üle 200 malli. Valepositiivsete tulemuste kõrvaldamiseks kontrollitakse ainult garanteeritud märgitüüpe. Jaanuari lõpuni on võimalus vaid beetatestimise programmis osalejatel, pärast seda saavad kõik teenust kasutada.
Allikas: opennet.ru