GitHub huet eng Beweegung ugekënnegt fir Zwee-Faktor Authentifikatioun ze erfuerderen fir all Benotzer déi Code op GitHub.com publizéieren. Op der éischter Etapp am Mäerz 2023 fänkt obligatoresch Zwee-Faktor Authentifikatioun op verschidde Gruppe vu Benotzer ze gëllen, a lues a lues méi a méi nei Kategorien ofdecken.
D'Ännerung wäert haaptsächlech Entwéckler beaflossen, déi Packagen, OAuth Uwendungen a GitHub Handler verëffentlechen, Verëffentlechungen erstellen, un der Entwécklung vu Projeten deelhuelen, déi kritesch fir d'npm, OpenSSF, PyPI a RubyGems Ökosystemer involvéiert sinn, wéi och déi, déi un der Aarbecht op de véier Millioune beléifsten involvéiert sinn. Repositories. Bis Enn 2023 wëll GitHub d'Fäegkeet fir all Benotzer komplett auszeschalten fir Ännerungen ze drécken ouni Zwee-Faktor Authentifikatioun ze benotzen. Wéi de Moment vum Iwwergank op Zwee-Faktor Authentifikatioun Approche, ginn d'Benotzer E-Mail Notifikatiounen geschéckt an d'Warnungen ginn an der Interface ugewisen.
Déi nei Fuerderung wäert de Schutz vum Entwécklungsprozess stäerken an d'Repositories vu béiswëlleg Verännerungen schützen als Resultat vun ausgelaften Umeldungsinformatiounen, Benotzung vum selwechte Passwuert op engem kompromittéierte Site, Hacking vum lokale System vum Entwéckler oder d'Benotzung vu sozialen Ingenieursmethoden. Geméiss GitHub, Ugräifer, déi Zougang zu Repositories kréien als Resultat vun der Iwwernahm vun de Konten, ass eng vun de geféierlechste Bedrohungen, well am Fall vun engem erfollegräichen Attack kënne verstoppte Ännerunge vu populäre Produkter a Bibliothéiken gemaach ginn, déi als Ofhängegkeet benotzt ginn.
Zousätzlech kënne mir den Ufank notéieren fir all Benotzer vun ëffentleche Repositories op GitHub e gratis Service ze bidden fir zoufälleg Verëffentlechung vu vertraulechen Donnéeën ze verfolgen, sou wéi Verschlësselungsschlësselen, DBMS Passwierder an API Zougang Tokens. Am Ganzen si méi wéi 200 Template implementéiert fir verschidden Aarte vu Schlësselen, Tokens, Certificaten an Umeldungsinformatiounen z'identifizéieren. Fir falsch Positiver ze eliminéieren, ginn nëmme garantéiert Tokentypen iwwerpréift. Bis Enn Januar ass d'Méiglechkeet nëmme fir d'Participanten am Beta-Testprogramm verfügbar, duerno kann jiddereen de Service benotzen.
Source: opennet.ru