GitHub telah mengumumkan transisi ke autentikasi dua faktor wajib untuk semua pengguna yang menerbitkan kode di GitHub.com. Pada tahap pertama, pada bulan Maret 2023, autentikasi dua faktor wajib akan mulai diterapkan untuk kelompok pengguna tertentu, secara bertahap mencakup lebih banyak kategori baru.
Pertama-tama, perubahan ini akan mempengaruhi pengembang yang menerbitkan paket, aplikasi OAuth dan pengendali GitHub, membuat rilis, berpartisipasi dalam pengembangan proyek penting untuk ekosistem npm, OpenSSF, PyPI dan RubyGems, serta mereka yang terlibat dalam pengerjaan empat proyek. juta repositori paling populer. Hingga akhir tahun 2023, GitHub bermaksud untuk menonaktifkan sepenuhnya kemampuan semua pengguna untuk mengirimkan perubahan tanpa menggunakan autentikasi dua faktor. Saat momen transisi ke autentikasi dua faktor semakin dekat, pengguna akan dikirimi pemberitahuan email dan peringatan akan ditampilkan di antarmuka.
Persyaratan baru ini akan meningkatkan keamanan proses pengembangan dan mengamankan repositori dari perubahan berbahaya akibat kebocoran kredensial, penggunaan kata sandi yang sama pada situs yang disusupi, peretasan sistem lokal pengembang, atau penggunaan metode rekayasa sosial. Menurut GitHub, mendapatkan akses ke repositori oleh penyerang sebagai akibat dari pembajakan akun adalah salah satu ancaman paling berbahaya, karena jika serangan berhasil, perubahan tersembunyi dapat dilakukan pada produk dan perpustakaan populer yang digunakan sebagai dependensi.
Selain itu, kami dapat mencatat awal penyediaan layanan gratis kepada semua pengguna repositori publik di GitHub untuk melacak publikasi data rahasia yang tidak disengaja, seperti kunci enkripsi, kata sandi ke DBMS, dan token akses API. Secara total, lebih dari 200 templat telah diterapkan untuk mengidentifikasi berbagai jenis kunci, token, sertifikat, dan kredensial. Untuk menghindari kesalahan positif, hanya jenis token terjamin yang dicentang. Hingga akhir Januari, peluang hanya akan tersedia bagi peserta program pengujian beta, setelah itu semua orang dapat menggunakan layanan ini.
Sumber: opennet.ru