GitHub GitHub.com сайтында кодду жарыялаган бардык колдонуучулар үчүн эки фактордук аутентификацияны талап кылган кадамды жарыялады. 2023-жылдын мартында биринчи этапта эки факторлуу аутентификация колдонуучулардын айрым топторуна колдонула баштайт, бара-бара көбүрөөк жаңы категорияларды камтыйт.
Өзгөртүү биринчи кезекте пакеттерди, OAuth тиркемелерин жана GitHub иштеткичтерин жарыялаган, релиздерди түзгөн, npm, OpenSSF, PyPI жана RubyGems экосистемалары үчүн маанилүү долбоорлорду иштеп чыгууга катышкан иштеп чыгуучуларга, ошондой эле төрт миллион эң популярдуу иштөөгө катышкандарга таасирин тийгизет. репозиторийлер. 2023-жылдын аягына чейин, GitHub бардык колдонуучулар үчүн эки факторлуу аутентификацияны колдонбостон өзгөртүүлөрдү түртүп коюу мүмкүнчүлүгүн толугу менен өчүрүүгө ниеттенүүдө. Эки факторлуу аутентификацияга өтүү учуру жакындаган сайын колдонуучуларга электрондук почта билдирүүлөрү жөнөтүлөт жана интерфейсте эскертүүлөр көрсөтүлөт.
Жаңы талап иштеп чыгуу процессинин корголушун күчөтөт жана репозиторийлерди зыяндуу өзгөрүүлөрдөн коргойт, анык маалыматтар, бузулган сайтта бир эле сырсөздү колдонуу, иштеп чыгуучунун локалдык системасын бузуп алуу же социалдык инженерия ыкмаларын колдонуу. GitHub айтымында, чабуулчулар эсепти басып алуунун натыйжасында репозиторийлерге кирүү мүмкүнчүлүгүнө ээ болушу эң кооптуу коркунучтардын бири болуп саналат, анткени ийгиликтүү чабуул болгон учурда көз карандылык катары колдонулган популярдуу продуктыларга жана китепканаларга жашыруун өзгөртүүлөр киргизилиши мүмкүн.
Кошумчалай кетсек, GitHubдагы жалпы репозиторийлердин бардык колдонуучуларына шифрлөө ачкычтары, DBMS сырсөздөрү жана API жетүү белгилери сыяктуу купуя маалыматтардын кокустан жарыяланышына көз салуу үчүн акысыз кызмат көрсөтүүнүн башталышын белгилей алабыз. Жалпысынан ачкычтардын, токендердин, сертификаттардын жана ишеним грамоталарынын ар кандай түрлөрүн аныктоо үчүн 200дөн ашык шаблондор ишке ашырылган. Жалган позитивдерди жок кылуу үчүн кепилденген токендердин түрлөрү гана текшерилет. Январдын аягына чейин бул мүмкүнчүлүк бета тестирлөө программасынын катышуучуларына гана жеткиликтүү болот, андан кийин ар бир адам кызматты пайдалана алат.
Source: opennet.ru