GitHub ha annunciato la decisione di richiedere l'autenticazione a due fattori per tutti gli utenti che pubblicano codice su GitHub.com. Nella prima fase, nel marzo 2023, l’autenticazione obbligatoria a due fattori inizierà ad applicarsi a determinati gruppi di utenti, coprendo gradualmente sempre più nuove categorie.
Il cambiamento interesserà principalmente gli sviluppatori che pubblicano pacchetti, applicazioni OAuth e gestori GitHub, creano versioni, partecipano allo sviluppo di progetti critici per gli ecosistemi npm, OpenSSF, PyPI e RubyGems, nonché coloro che sono coinvolti nel lavoro sui quattro milioni di siti più popolari. repository. Entro la fine del 2023, GitHub intende disabilitare completamente la possibilità per tutti gli utenti di inviare modifiche senza utilizzare l'autenticazione a due fattori. Con l'avvicinarsi del momento della transizione all'autenticazione a due fattori, agli utenti verranno inviate notifiche via email e gli avvisi verranno visualizzati nell'interfaccia.
Il nuovo requisito rafforzerà la protezione del processo di sviluppo e proteggerà i repository da modifiche dannose derivanti dalla fuga di credenziali, dall’uso della stessa password su un sito compromesso, dall’hacking del sistema locale dello sviluppatore o dall’uso di metodi di ingegneria sociale. Secondo GitHub, una delle minacce più pericolose è l'accesso degli aggressori ai repository tramite il furto degli account, poiché in caso di attacco riuscito possono essere apportate modifiche nascoste a prodotti e librerie popolari utilizzati come dipendenze.
Inoltre, possiamo notare l’inizio della fornitura a tutti gli utenti dei repository pubblici su GitHub di un servizio gratuito per monitorare la pubblicazione accidentale di dati riservati, come chiavi di crittografia, password DBMS e token di accesso API. In totale, sono stati implementati più di 200 modelli per identificare diversi tipi di chiavi, token, certificati e credenziali. Per eliminare i falsi positivi, vengono controllati solo i tipi di token garantiti. Fino alla fine di gennaio l'opportunità sarà riservata solo ai partecipanti al programma di beta testing, dopodiché tutti potranno utilizzare il servizio.
Fonte: opennet.ru