GitHub は、GitHub.com でコードを公開するすべてのユーザーに 2023 要素認証を要求する動きを発表しました。 XNUMX 年 XNUMX 月の第 XNUMX 段階では、必須の XNUMX 要素認証が特定のユーザー グループに適用され始め、徐々に新しいカテゴリがカバーされます。
この変更は主に、パッケージ、OAuth アプリケーション、GitHub ハンドラーの公開、リリースの作成、npm、OpenSSF、PyPI、RubyGems エコシステムにとって重要なプロジェクトの開発に参加する開発者、および最も人気のある 2023 万の開発者に影響します。リポジトリ。 GitHub は、XNUMX 年末までに、すべてのユーザーが XNUMX 要素認証を使用せずに変更をプッシュできる機能を完全に無効にする予定です。 XNUMX 要素認証への移行の瞬間が近づくと、ユーザーに電子メール通知が送信され、インターフェイスに警告が表示されます。
新しい要件により、開発プロセスの保護が強化され、資格情報の漏洩、侵害されたサイトでの同じパスワードの使用、開発者のローカル システムのハッキング、またはソーシャル エンジニアリング手法の使用の結果として生じる悪意のある変更からリポジトリが保護されます。 GitHub によると、アカウント乗っ取りの結果として攻撃者がリポジトリにアクセスすることは、最も危険な脅威の XNUMX つです。攻撃が成功すると、依存関係として使用されている人気の製品やライブラリに隠れた変更が加えられる可能性があるためです。
さらに、GitHub 上のパブリック リポジトリのすべてのユーザーに、暗号化キー、DBMS パスワード、API アクセス トークンなどの機密データの偶発的な公開を追跡するための無料サービスの提供が開始されたことにも注目してください。 さまざまな種類のキー、トークン、証明書、資格情報を識別するために、合計 200 を超えるテンプレートが実装されています。 誤検知を排除するために、保証されたトークン タイプのみがチェックされます。 XNUMX 月末までは、ベータ テスト プログラムの参加者のみがこの機会を利用できますが、その後は誰でもサービスを利用できるようになります。
出所: オープンネット.ru