GitHub-ը հայտարարեց GitHub.com-ում կոդ հրապարակող բոլոր օգտատերերի համար երկու գործոնով նույնականացում պահանջելու քայլի մասին: 2023 թվականի մարտին առաջին փուլում պարտադիր երկգործոն նույնականացումը կսկսի կիրառվել օգտատերերի որոշակի խմբերի վրա՝ աստիճանաբար ընդգրկելով ավելի ու ավելի շատ նոր կատեգորիաներ։
Փոփոխությունը հիմնականում կանդրադառնա այն ծրագրավորողներին, ովքեր հրապարակում են փաթեթներ, OAuth հավելվածներ և GitHub մշակողներ, ստեղծում են թողարկումներ, մասնակցում են npm, OpenSSF, PyPI և RubyGems էկոհամակարգերի համար կարևոր նախագծերի մշակմանը, ինչպես նաև նրանց, ովքեր զբաղվում են չորս միլիոն ամենահայտնի էկոհամակարգերի վրա: պահոցներ. Մինչև 2023 թվականի վերջ GitHub-ը մտադիր է ամբողջությամբ անջատել բոլոր օգտատերերի համար փոփոխություններ ներկայացնելու հնարավորությունը՝ առանց երկգործոն նույնականացման օգտագործման: Քանի որ մոտենում է երկու գործոնով իսկորոշմանն անցնելու պահը, օգտատերերին էլեկտրոնային փոստով ծանուցումներ կուղարկվեն, իսկ ինտերֆեյսում կցուցադրվեն նախազգուշացումներ:
Նոր պահանջը կուժեղացնի մշակման գործընթացի պաշտպանությունը և կպաշտպանի պահեստները վնասակար փոփոխություններից՝ հավատարմագրերի արտահոսքի, վտանգի ենթարկված կայքում նույն գաղտնաբառի օգտագործման, ծրագրավորողի տեղական համակարգի կոտրման կամ սոցիալական ինժեներական մեթոդների կիրառման հետևանքով: Ըստ GitHub-ի, հաշիվների գրավման արդյունքում գրոհայինների մուտքը պահեստներ ամենավտանգավոր սպառնալիքներից մեկն է, քանի որ հաջող հարձակման դեպքում կարող են թաքնված փոփոխություններ կատարել հայտնի արտադրանքներում և գրադարաններում, որոնք օգտագործվում են որպես կախվածություն:
Բացի այդ, մենք կարող ենք նշել GitHub-ի հանրային պահեստների բոլոր օգտվողներին անվճար ծառայություն տրամադրելու սկիզբը՝ գաղտնի տվյալների պատահական հրապարակմանը հետևելու համար, ինչպիսիք են գաղտնագրման բանալիները, DBMS գաղտնաբառերը և API մուտքի նշանները: Ընդհանուր առմամբ, ավելի քան 200 կաղապարներ են ներդրվել տարբեր տեսակի բանալիների, նշանների, վկայագրերի և հավատարմագրերի նույնականացման համար: Կեղծ պոզիտիվները վերացնելու համար ստուգվում են միայն երաշխավորված նշանների տեսակները: Մինչև հունվարի վերջ հնարավորությունը հասանելի կլինի միայն բետա թեստավորման ծրագրի մասնակիցներին, որից հետո բոլորը կկարողանան օգտվել ծառայությունից։
Source: opennet.ru