GitHub je najavio prijelaz na obaveznu dvofaktorsku autentifikaciju za sve korisnike koji objavljuju kod na GitHub.com. U prvoj fazi, u ožujku 2023., počet će se primjenjivati obvezna dvofaktorska autentifikacija za određene skupine korisnika, postupno pokrivajući sve više novih kategorija.
Prije svega, promjena će utjecati na programere koji objavljuju pakete, OAuth aplikacije i GitHub rukovatelje, izdanja obrazaca, sudjeluju u razvoju projekata kritičnih za npm, OpenSSF, PyPI i RubyGems ekosustave, kao i one koji su uključeni u rad na četiri milijuna najpopularnijih repozitorija. Do kraja 2023. GitHub namjerava u potpunosti onemogućiti svim korisnicima mogućnost podnošenja promjena bez korištenja dvofaktorske autentifikacije. Kako se približava trenutak prelaska na dvofaktorsku autentifikaciju, korisnicima će se slati obavijesti e-poštom, a upozorenja će se prikazivati u sučelju.
Novi zahtjev povećat će sigurnost razvojnog procesa i zaštititi repozitorije od zlonamjernih promjena koje proizlaze iz curenja vjerodajnica, korištenja iste lozinke na kompromitiranom mjestu, hakiranja lokalnog sustava programera ili korištenja metoda društvenog inženjeringa. Prema GitHubu, dobivanje pristupa repozitoriju od strane napadača kao rezultat otmice računa jedna je od najopasnijih prijetnji, budući da se u slučaju uspješnog napada mogu izvesti skrivene promjene u popularnim proizvodima i bibliotekama koje se koriste kao ovisnosti.
Dodatno, možemo primijetiti početak pružanja svim korisnicima javnih repozitorija na GitHubu besplatne usluge za praćenje slučajnog objavljivanja povjerljivih podataka, kao što su ključevi enkripcije, lozinke za DBMS i API pristupni tokeni. Ukupno je implementirano više od 200 predložaka za identifikaciju različitih vrsta ključeva, tokena, certifikata i vjerodajnica. Kako bi se izbjegli lažni pozitivni rezultati, provjeravaju se samo zajamčene vrste tokena. Do kraja siječnja priliku će imati samo sudionici programa beta testiranja, nakon čega će svi moći koristiti uslugu.
Izvor: opennet.ru