A GitHub bejelentette, hogy megkezdődik a kódot közzétevő összes felhasználó fokozatos átállása a kötelező kétfaktoros hitelesítésre. Március 13-tól a kötelező kéttényezős azonosítás megkezdődik bizonyos felhasználói csoportok esetében, fokozatosan egyre több új kategóriát lefedve. Mindenekelőtt a kéttényezős hitelesítés válik kötelezővé a csomagokat publikáló, OAuth-alkalmazásokat és GitHub-kezelőket publikáló, kiadásokat készítő, az npm, OpenSSF, PyPI és RubyGems ökoszisztémák szempontjából kritikus projektek fejlesztésében résztvevő fejlesztők, valamint a munkában résztvevők számára. a négymillió legnépszerűbb adattáron.
2023 végéig a GitHub már nem engedi, hogy minden felhasználó kéttényezős hitelesítés nélkül hajtson végre változtatásokat. A kéttényezős hitelesítésre való áttérés pillanatában a felhasználók e-mailben értesítéseket kapnak, és figyelmeztetések jelennek meg a felületen. Az első figyelmeztetés elküldése után a fejlesztő 45 napot kap a kétfaktoros hitelesítés beállítására.
A kéttényezős hitelesítéshez használhat mobilalkalmazást, SMS-ellenőrzést vagy hozzáférési kulcsot csatolhat hozzá. A kéttényezős hitelesítéshez olyan alkalmazásokat javasolunk, amelyek időkorlátos egyszeri jelszavakat (TOTP) generálnak, mint például az Authy, a Google Authenticator és a FreeOTP.
A kéttényezős hitelesítés növeli a fejlesztési folyamat védelmét, és megvédi a tárolókat a rosszindulatú változásoktól, amelyek a kiszivárgott hitelesítő adatok, ugyanazon jelszó használata egy feltört webhelyen, a fejlesztő helyi rendszerének feltörése vagy a közösségi oldalak használata miatt következnek be. mérnöki módszerek. A GitHub szerint az egyik legveszélyesebb fenyegetést jelenti a fiókátvétel eredményeként a tárolókhoz hozzáférést biztosító támadók, hiszen sikeres támadás esetén rosszindulatú változtatások történhetnek a népszerű termékeken, függőségként használt könyvtárakon.
Forrás: opennet.ru