گیت هاب انتقال به احراز هویت اجباری دو مرحله ای را برای همه کاربرانی که کد منتشر می کنند در GitHub.com اعلام کرده است. در مرحله اول، در مارس 2023، احراز هویت دو مرحلهای اجباری برای گروههای کاربری خاص اعمال میشود و به تدریج دستههای جدید بیشتری را پوشش میدهد.
اول از همه، این تغییر بر توسعهدهندگانی که بستهها، برنامههای OAuth و کنترلکنندههای GitHub، انتشار فرمها، مشارکت در توسعه پروژههای حیاتی برای اکوسیستمهای npm، OpenSSF، PyPI و RubyGems را منتشر میکنند، و همچنین کسانی که در کار بر روی چهار کار انجام میدهند، تأثیر خواهد گذاشت. میلیون ها از محبوب ترین مخازن. تا پایان سال 2023، گیت هاب قصد دارد تا امکان ارسال تغییرات بدون استفاده از احراز هویت دو مرحله ای را برای همه کاربران به طور کامل غیرفعال کند. با نزدیک شدن به لحظه انتقال به احراز هویت دو مرحلهای، اعلانهای ایمیلی برای کاربران ارسال میشود و هشدارها در رابط نمایش داده میشوند.
نیاز جدید باعث افزایش امنیت فرآیند توسعه و مخازن امن در برابر تغییرات مخرب ناشی از اطلاعات کاربری لو رفته، استفاده از رمز عبور مشابه در یک سایت در معرض خطر، هک کردن سیستم محلی توسعه دهنده یا استفاده از روش های مهندسی اجتماعی می شود. به گفته گیت هاب، دسترسی مهاجمان به مخازن در نتیجه سرقت حساب یکی از خطرناک ترین تهدیدها است، زیرا در صورت حمله موفقیت آمیز، می توان تغییرات پنهانی را در محصولات و کتابخانه های محبوب که به عنوان وابستگی استفاده می شوند انجام داد.
علاوه بر این، میتوانیم به آغاز ارائه خدمات رایگان به همه کاربران مخازن عمومی در GitHub برای ردیابی انتشار تصادفی دادههای محرمانه، مانند کلیدهای رمزگذاری، رمزهای عبور DBMS و نشانههای دسترسی API اشاره کنیم. در مجموع بیش از 200 قالب برای شناسایی انواع کلیدها، توکن ها، گواهی ها و اعتبارنامه ها پیاده سازی شده است. برای جلوگیری از مثبت کاذب، فقط انواع توکن های تضمین شده بررسی می شوند. تا پایان ژانویه، این فرصت تنها برای شرکت کنندگان در برنامه آزمایش بتا در دسترس خواهد بود و پس از آن همه می توانند از این سرویس استفاده کنند.
منبع: opennet.ru