GitHub anunciou unha medida para requirir a autenticación de dous factores para todos os usuarios que publican código en GitHub.com. Na primeira etapa, en marzo de 2023, a autenticación obrigatoria de dous factores comezará a aplicarse a determinados grupos de usuarios, cubrindo gradualmente máis e máis categorías novas.
O cambio afectará principalmente aos desenvolvedores que publican paquetes, aplicacións OAuth e manejadores de GitHub, crean versións, participan no desenvolvemento de proxectos críticos para os ecosistemas npm, OpenSSF, PyPI e RubyGems, así como aos que participan no traballo nos catro millóns máis populares. repositorios. A finais de 2023, GitHub ten a intención de desactivar completamente a capacidade de todos os usuarios de facer cambios sen usar a autenticación de dous factores. A medida que se achega o momento da transición á autenticación de dous factores, os usuarios recibirán notificacións por correo electrónico e aparecerán avisos na interface.
O novo requisito reforzará a protección do proceso de desenvolvemento e protexerá os repositorios de cambios maliciosos como resultado da filtración de credenciais, o uso do mesmo contrasinal nun sitio comprometido, a piratería do sistema local do programador ou o uso de métodos de enxeñería social. Segundo GitHub, os atacantes que acceden aos repositorios como resultado da toma de contas é unha das ameazas máis perigosas, xa que, en caso de ataque exitoso, pódense facer cambios ocultos en produtos populares e bibliotecas utilizadas como dependencias.
Ademais, podemos observar o inicio de ofrecer a todos os usuarios de repositorios públicos en GitHub un servizo gratuíto para rastrexar a publicación accidental de datos confidenciais, como claves de cifrado, contrasinais de DBMS e tokens de acceso á API. En total, implementáronse máis de 200 modelos para identificar diferentes tipos de claves, tokens, certificados e credenciais. Para eliminar os falsos positivos, só se verifican os tipos de token garantidos. Ata finais de xaneiro, a oportunidade só estará dispoñible para os participantes no programa de probas beta, despois do cal todos poderán utilizar o servizo.
Fonte: opennet.ru