GitHub on ilmoittanut siirtyvänsä pakolliseen kaksivaiheiseen todennukseen kaikille käyttäjille, jotka julkaisevat koodia GitHub.comissa. Ensimmäisessä vaiheessa, maaliskuussa 2023, tietyille käyttäjäryhmille aletaan soveltaa pakollista kaksivaiheista todennusta, joka kattaa vähitellen yhä enemmän uusia luokkia.
Ensinnäkin muutos vaikuttaa kehittäjiin, jotka julkaisevat paketteja, OAuth-sovelluksia ja GitHub-käsittelijöitä, lomakejulkaisuja, osallistuvat npm-, OpenSSF-, PyPI- ja RubyGems-ekosysteemien kannalta kriittisten projektien kehittämiseen sekä neljän ekosysteemin työhön osallistuviin. miljoona suosituinta tietovarastoa. Vuoden 2023 loppuun asti GitHub aikoo poistaa kokonaan käytöstä kaikilta käyttäjiltä mahdollisuuden lähettää muutoksia ilman kaksivaiheista todennusta. Kun siirtyminen kaksivaiheiseen todentamiseen lähestyy, käyttäjille lähetetään sähköposti-ilmoituksia ja varoituksia näytetään käyttöliittymässä.
Uusi vaatimus lisää kehitysprosessin turvallisuutta ja suojaa tietovarastot haitallisilta muutoksilta, jotka johtuvat vuotaneista tunnistetiedoista, saman salasanan käyttämisestä vaarantuneella sivustolla, kehittäjän paikalliseen järjestelmään hakkerointia tai sosiaalisen manipuloinnin menetelmiä vastaan. GitHubin mukaan hyökkääjien pääsy tietovarastoon tilin kaappauksen seurauksena on yksi vaarallisimmista uhkista, koska onnistuneen hyökkäyksen sattuessa suosittuihin tuotteisiin ja riippuvuuksina käytettäviin kirjastoihin voidaan tehdä piilotettuja muutoksia.
Lisäksi voimme huomata, että kaikille GitHubin julkisten tietovarastojen käyttäjille tarjotaan ilmainen palvelu, jolla voidaan seurata luottamuksellisten tietojen, kuten salausavainten, DBMS-salasanojen ja API-käyttötunnisteiden, tahatonta julkaisemista. Yhteensä yli 200 mallia on otettu käyttöön erityyppisten avainten, tokenien, varmenteiden ja valtuustietojen tunnistamiseksi. Väärien positiivisten tulosten välttämiseksi vain taatut merkkityypit tarkistetaan. Tammikuun loppuun asti tilaisuus on vain betatestausohjelmaan osallistuvilla, jonka jälkeen palvelua voivat käyttää kaikki.
Lähde: opennet.ru