GitHub ha annunciato l'inizio di una transizione graduale di tutti gli utenti che pubblicano codice verso l'autenticazione obbligatoria a due fattori. A partire dal 13 marzo, per alcuni gruppi di utenti inizierà ad essere applicata l'autenticazione obbligatoria a due fattori, coprendo gradualmente sempre più nuove categorie. Innanzitutto, l'autenticazione a due fattori diventerà obbligatoria per gli sviluppatori che pubblicano pacchetti, applicazioni OAuth e gestori GitHub, creano rilasci, partecipano allo sviluppo di progetti critici per gli ecosistemi npm, OpenSSF, PyPI e RubyGems, nonché per coloro che sono coinvolti nel lavoro sui quattro milioni di repository più popolari.
Fino alla fine del 2023, GitHub non consentirà più a tutti gli utenti di inviare modifiche senza utilizzare l’autenticazione a due fattori. Con l'avvicinarsi del momento della transizione all'autenticazione a due fattori, agli utenti verranno inviate notifiche via email e gli avvisi verranno visualizzati nell'interfaccia. Dopo aver inviato il primo avviso, allo sviluppatore vengono concessi 45 giorni per impostare l'autenticazione a due fattori.
Per l'autenticazione a due fattori, puoi utilizzare un'app mobile, la verifica via SMS o allegare una chiave di accesso. Per l'autenticazione a due fattori, ti consigliamo di utilizzare app che generano password monouso (TOTP) a tempo limitato, come Authy, Google Authenticator e FreeOTP come opzione preferita.
L'uso dell'autenticazione a due fattori migliorerà la protezione del processo di sviluppo e proteggerà i repository da modifiche dannose derivanti dalla fuga di credenziali, dall'uso della stessa password su un sito compromesso, dall'hacking del sistema locale dello sviluppatore o dall'uso di social network. metodi di ingegneria. Secondo GitHub, una delle minacce più pericolose è l'accesso degli aggressori ai repository tramite il furto degli account, poiché in caso di attacco riuscito possono essere apportate modifiche dannose a prodotti e librerie popolari utilizzati come dipendenze.
Fonte: opennet.ru