A GitHub bejelentette a kötelező kétfaktoros hitelesítésre való fokozatos átállást minden kódot közzétevő felhasználó számára. Március 13-tól a kötelező kétfaktoros hitelesítés bevezetésre kerül bizonyos felhasználói csoportokra, fokozatosan kiterjesztve további kategóriákra. Először is, a kétfaktoros hitelesítés kötelező lesz a csomagokat, OAuth alkalmazásokat és GitHub kezelőket közzétevő fejlesztők; a kiadásokat létrehozók; az npm, OpenSSF, PyPI és RubyGems ökoszisztémák szempontjából kritikus projektekhez hozzájárulók; valamint a négymillió legnépszerűbb repozitóriumban részt vevők számára.
2023 végére a GitHub letiltja a kétfaktoros hitelesítés nélküli változtatások lehetőségét minden felhasználó számára. Ahogy közeledik a kétfaktoros hitelesítésre való áttérés, a felhasználók e-mail értesítéseket és figyelmeztetéseket fognak kapni a felületen. Az első figyelmeztetés után a fejlesztőknek 45 napjuk lesz a kétfaktoros hitelesítés beállítására.
A kétfaktoros hitelesítés mobilalkalmazással, SMS-ellenőrzéssel vagy jelszó csatolásával érhető el. Az időérzékeny, egyszer használatos jelszavakat (TOTP) generáló alkalmazásokat, például az Authy-t, a Google Authenticator-t és a FreeOTP-t ajánljuk előnyben részesített kétfaktoros hitelesítési lehetőségként.
A kétfaktoros hitelesítés bevezetése megerősíti a fejlesztési folyamat biztonságát, és megvédi a tárolókat a rosszindulatú változtatásoktól, amelyek kiszivárgott hitelesítő adatok, ugyanazon jelszó használata egy feltört webhelyen, a fejlesztő helyi rendszerének feltörése vagy a társadalmi manipuláció miatt következhetnek be. A GitHub szerint a támadók fiókfeltörésen keresztüli hozzáférése a tárolókhoz az egyik legveszélyesebb fenyegetés, mivel egy sikeres támadás rosszindulatú változtatásokat vezethet be a népszerű termékekben és a függőségként használt könyvtárakban.
Forrás: opennet.ru
