„GitHub“ paskelbė apie žingsnį reikalauti dviejų veiksnių autentifikavimo visiems vartotojams, skelbiantiems kodą GitHub.com. Pirmajame etape 2023 m. kovo mėnesį tam tikroms vartotojų grupėms bus pradėtas taikyti privalomas dviejų veiksnių autentifikavimas, palaipsniui apimdamas vis daugiau naujų kategorijų.
Pakeitimas pirmiausia paveiks kūrėjus, kurie skelbia paketus, OAuth programas ir GitHub tvarkykles, kuria leidimus, dalyvauja kuriant projektus, svarbius npm, OpenSSF, PyPI ir RubyGems ekosistemoms, taip pat tiems, kurie dirba su keturiais milijonais populiariausių. saugyklos. Iki 2023 m. pabaigos „GitHub“ ketina visiškai išjungti galimybę visiems vartotojams atlikti pakeitimus nenaudojant dviejų veiksnių autentifikavimo. Pereinant prie dviejų veiksnių autentifikavimo, vartotojams bus siunčiami pranešimai el. paštu, o sąsajoje bus rodomi įspėjimai.
Naujasis reikalavimas sustiprins kūrimo proceso apsaugą ir saugos saugyklas nuo kenkėjiškų pakeitimų, atsirandančių dėl nutekėjusių kredencialų, to paties slaptažodžio naudojimo pažeistoje svetainėje, įsilaužimo į kūrėjo vietinę sistemą ar socialinės inžinerijos metodų naudojimo. „GitHub“ teigimu, užpuolikai, gaunantys prieigą prie saugyklų dėl paskyros perėmimo, yra viena iš pavojingiausių grėsmių, nes sėkmingos atakos atveju populiariuose produktuose ir bibliotekose, naudojamose kaip priklausomybės, gali būti atlikti paslėpti pakeitimai.
Be to, galime pastebėti, kad visiems GitHub viešųjų saugyklų vartotojams pradedama teikti nemokama paslauga, skirta stebėti atsitiktinį konfidencialių duomenų, pvz., šifravimo raktų, DBMS slaptažodžių ir API prieigos prieigos raktų, paskelbimą. Iš viso buvo įdiegta daugiau nei 200 šablonų skirtingų tipų raktams, žetonams, sertifikatams ir kredencialams identifikuoti. Siekiant pašalinti klaidingus teigiamus duomenis, tikrinami tik garantuoti žetonų tipai. Iki sausio pabaigos tokia galimybe galės naudotis tik beta testavimo programos dalyviai, po to paslauga galės naudotis visi norintys.
Šaltinis: opennet.ru