GitHub hat in oergong oankundige nei ferplichte twa-faktor autentikaasje foar alle brûkers dy't koade publisearje op GitHub.com. Yn 'e earste faze, yn maart 2023, sil ferplichte twa-faktor-autentikaasje begjinne te wurde tapast foar bepaalde brûkersgroepen, stadichoan dekke mear en mear nije kategoryen.
Alderearst sil de wiziging ynfloed hawwe op ûntwikkelders dy't pakketten publisearje, OAuth-applikaasjes en GitHub-hannelers, releases foarmje, dielnimme oan 'e ûntwikkeling fan projekten dy't kritysk binne foar de npm, OpenSSF, PyPI en RubyGems-ekosystemen, lykas dejingen dy't belutsen binne by it wurk op fjouwer miljoen fan 'e populêrste repositories. Oant it ein fan 2023 is GitHub fan doel om de mooglikheid foar alle brûkers om wizigingen yn te tsjinjen folslein út te skeakeljen sûnder twa-faktor-autentikaasje te brûken. As it momint fan oergong nei twa-faktor autentikaasje benaderet, sille brûkers e-postnotifikaasjes stjoerd wurde en warskôgings wurde werjûn yn 'e ynterface.
De nije eask sil de feiligens fan it ûntwikkelingsproses fergrutsje en befeiligje repositories fan kweade feroarings dy't resultearje fan útlekte referinsjes, itselde wachtwurd brûke op in kompromittearre side, hacking fan it lokale systeem fan 'e ûntwikkelder, of it brûken fan metoaden foar sosjale engineering. Neffens GitHub is it krijen fan tagong ta repositories troch oanfallers as gefolch fan accountkaping ien fan 'e gefaarlikste bedrigingen, om't yn it gefal fan in suksesfolle oanfal ferburgen wizigingen kinne wurde útfierd yn populêre produkten en biblioteken dy't brûkt wurde as ôfhinklikens.
Derneist kinne wy it begjin notearje fan it leverjen fan alle brûkers fan iepenbiere repositories op GitHub mei in fergese tsjinst om de tafallige publikaasje fan fertroulike gegevens te folgjen, lykas fersiferingskaaien, wachtwurden foar de DBMS, en API-tagongstokens. Yn totaal binne mear as 200 sjabloanen ymplementearre om ferskate soarten kaaien, tokens, sertifikaten en bewiisbrieven te identifisearjen. Om falske positiven te foarkommen, wurde allinich garandearre tokentypen kontrolearre. Oant ein jannewaris sil de kâns allinich beskikber wêze foar dielnimmers oan it beta-testprogramma, wêrnei't elkenien de tsjinst brûke kin.
Boarne: opennet.ru