GitHub GitHub.com сайтында код жариялайтын барлық пайдаланушылар үшін міндетті екі факторлы аутентификацияға көшу туралы жариялады. Бірінші кезеңде, 2023 жылдың наурызында, белгілі бір пайдаланушы топтары үшін бірте-бірте көбірек жаңа санаттарды қамтитын міндетті екі факторлы аутентификация қолданылады.
Ең алдымен, өзгеріс пакеттерді, OAuth қосымшаларын және GitHub өңдеушілерін, релиздерді шығаратын, npm, OpenSSF, PyPI және RubyGems экожүйелері үшін маңызды жобаларды әзірлеуге қатысатын әзірлеушілерге, сондай-ақ төрт бағдарламада жұмыс істейтіндерге әсер етеді. ең танымал репозиторийлердің миллионы. 2023 жылдың соңына дейін GitHub барлық пайдаланушылардың екі факторлы аутентификацияны пайдаланбай өзгерістерді жіберу мүмкіндігін толығымен өшіруді көздеп отыр. Екі факторлы аутентификацияға көшу сәті жақындаған сайын пайдаланушыларға электрондық пошта хабарламалары жіберіледі және интерфейсте ескертулер көрсетіледі.
Жаңа талап әзірлеу процесінің қауіпсіздігін арттырады және тіркелгі деректерінің ағып кетуіне, бұзылған сайтта бірдей құпия сөзді пайдалануына, әзірлеушінің жергілікті жүйесін бұзуға немесе әлеуметтік инженерия әдістеріне байланысты репозиторийлерді зиянды өзгерістерден қорғайды. GitHub мәліметтері бойынша, есептік жазбаны ұрлау нәтижесінде шабуылдаушылардың репозиторийлерге қол жеткізуі ең қауіпті қауіптердің бірі болып табылады, өйткені сәтті шабуыл болған жағдайда тәуелділік ретінде пайдаланылатын танымал өнімдер мен кітапханаларда жасырын өзгерістер жасалуы мүмкін.
Сонымен қатар, біз GitHub-тағы жалпы репозиторийлердің барлық пайдаланушыларына шифрлау кілттері, ДҚБЖ құпия сөздері және API кіру таңбалауыштары сияқты құпия деректердің кездейсоқ жариялануын бақылау үшін ақысыз қызмет көрсетудің басталуын атап өтуге болады. Барлығы кілттердің, белгілердің, сертификаттардың және тіркелгі деректерінің әртүрлі түрлерін анықтау үшін 200-ден астам үлгілер енгізілді. Жалған позитивтерді болдырмау үшін тек кепілдік берілген токен түрлері тексеріледі. Қаңтар айының соңына дейін бұл мүмкіндік тек бета-тестілеу бағдарламасына қатысушыларға ғана қолжетімді болады, одан кейін барлығы сервисті пайдалана алады.
Ақпарат көзі: opennet.ru