GitHub a annoncé une décision visant à exiger une authentification à deux facteurs pour tous les utilisateurs publiant du code sur GitHub.com. Dans un premier temps, en mars 2023, l’authentification obligatoire à deux facteurs commencera à s’appliquer à certains groupes d’utilisateurs, couvrant progressivement de plus en plus de nouvelles catégories.
Le changement affectera principalement les développeurs qui publient des packages, des applications OAuth et des gestionnaires GitHub, créent des versions, participent au développement de projets critiques pour les écosystèmes npm, OpenSSF, PyPI et RubyGems, ainsi que ceux impliqués dans les travaux sur les quatre millions les plus populaires. référentiels. D’ici fin 2023, GitHub a l’intention de désactiver complètement la possibilité pour tous les utilisateurs de pousser les modifications sans recourir à l’authentification à deux facteurs. À l'approche du moment de la transition vers l'authentification à deux facteurs, les utilisateurs recevront des notifications par courrier électronique et des avertissements seront affichés dans l'interface.
La nouvelle exigence renforcera la protection du processus de développement et protégera les référentiels contre les modifications malveillantes résultant d’une fuite d’informations d’identification, de l’utilisation du même mot de passe sur un site compromis, du piratage du système local du développeur ou de l’utilisation de méthodes d’ingénierie sociale. Selon GitHub, l'accès aux référentiels par les attaquants à la suite d'un piratage de compte est l'une des menaces les plus dangereuses, car en cas d'attaque réussie, des modifications cachées peuvent être apportées aux produits et bibliothèques populaires utilisés comme dépendances.
De plus, on peut noter le début de la fourniture à tous les utilisateurs de référentiels publics sur GitHub d'un service gratuit de suivi des publications accidentelles de données confidentielles, telles que les clés de chiffrement, les mots de passe SGBD et les jetons d'accès API. Au total, plus de 200 modèles ont été mis en œuvre pour identifier différents types de clés, jetons, certificats et informations d'identification. Pour éliminer les faux positifs, seuls les types de jetons garantis sont vérifiés. Jusqu'à fin janvier, l'opportunité ne sera disponible que pour les participants au programme de test bêta, après quoi tout le monde pourra utiliser le service.
Source: opennet.ru