A GitHub bejelentette, hogy áttér a kötelező kétfaktoros hitelesítésre minden olyan felhasználó számára, aki kódot tesz közzé a GitHub.com oldalon. Első lépésben, 2023 márciusában kezdik meg a kötelező kétfaktoros hitelesítés alkalmazását egyes felhasználói csoportok esetében, amely fokozatosan egyre több új kategóriát fed le.
A változás elsősorban azokat a fejlesztőket érinti, akik csomagokat, OAuth-alkalmazásokat és GitHub-kezelőket tesznek közzé, kiadásokat készítenek, részt vesznek az npm, OpenSSF, PyPI és RubyGems ökoszisztémák szempontjából kritikus projektek fejlesztésében, valamint azokat, akik részt vesznek a négyen. millió legnépszerűbb adattár. 2023 végéig a GitHub szándékában áll teljesen letiltani azt a lehetőséget, hogy minden felhasználó kéttényezős hitelesítés nélkül küldhessen el változtatásokat. A kéttényezős hitelesítésre való áttérés pillanatában a felhasználók e-mailben értesítéseket kapnak, és figyelmeztetések jelennek meg a felületen.
Az új követelmény növeli a fejlesztési folyamat biztonságát, és megvédi a tárhelyeket a kiszivárgott hitelesítő adatokból, ugyanazon jelszó használatából adódóan, a fejlesztő helyi rendszerének feltöréséből vagy social engineering módszerekből eredő rosszindulatú változások ellen. A GitHub szerint az egyik legveszélyesebb fenyegetés, ha a támadók fiók-eltérítés következtében hozzáférnek a repozitóriumokhoz, hiszen sikeres támadás esetén rejtett változtatások hajthatók végre a népszerű termékekben, függőségként használt könyvtárakban.
Ezenkívül megjegyezzük, hogy a GitHubon a nyilvános adattárak minden felhasználója számára ingyenes szolgáltatást biztosítunk a bizalmas adatok, például a titkosítási kulcsok, a DBMS-jelszavak és az API hozzáférési jogkivonatok véletlen közzétételének nyomon követésére. Összesen több mint 200 sablont implementáltak a különböző típusú kulcsok, tokenek, tanúsítványok és hitelesítő adatok azonosítására. A hamis pozitív eredmények elkerülése érdekében csak a garantált token típusokat ellenőrzik. Január végéig csak a béta tesztelési programban résztvevők vehetik igénybe a lehetőséget, ezt követően mindenki igénybe veheti a szolgáltatást.
Forrás: opennet.ru