GitHub ir paziņojis par pakāpeniskas pārejas sākšanu visiem lietotājiem, kuri publicē kodu, uz obligātu divu faktoru autentifikāciju. No 13. marta noteiktām lietotāju grupām sāks attiekties obligātā divu faktoru autentifikācija, pakāpeniski aptverot arvien jaunas kategorijas. Pirmkārt, divu faktoru autentifikācija kļūs obligāta izstrādātājiem, kas publicē pakotnes, OAuth lietojumprogrammas un GitHub apdarinātājus, veido laidienus, piedalās npm, OpenSSF, PyPI un RubyGems ekosistēmām svarīgu projektu izstrādē, kā arī tiem, kas ir iesaistīti darbā. uz četriem miljoniem populārāko repozitoriju.
Līdz 2023. gada beigām GitHub vairs neļaus visiem lietotājiem virzīt izmaiņas, neizmantojot divu faktoru autentifikāciju. Tuvojoties pārejas brīdim uz divu faktoru autentifikāciju, lietotājiem tiks nosūtīti e-pasta paziņojumi un saskarnē tiks parādīti brīdinājumi. Pēc pirmā brīdinājuma nosūtīšanas izstrādātājam tiek dotas 45 dienas, lai iestatītu divu faktoru autentifikāciju.
Divfaktoru autentifikācijai varat izmantot mobilo lietotni, SMS verifikāciju vai pievienot piekļuves atslēgu. Lai veiktu divu faktoru autentifikāciju, kā vēlamo opciju iesakām izmantot lietotnes, kas ģenerē ierobežotu laiku vienreizējas paroles (TOTP), piemēram, Authy, Google Authenticator un FreeOTP.
Divu faktoru autentifikācijas izmantošana uzlabos izstrādes procesa aizsardzību un pasargās repozitorijus no ļaunprātīgām izmaiņām, ko izraisa akreditācijas datu noplūde, vienas un tās pašas paroles izmantošana apdraudētā vietnē, izstrādātāja lokālās sistēmas uzlaušana vai sociālo tīklu izmantošana. inženierijas metodes. Saskaņā ar GitHub teikto, uzbrucēji, kas konta pārņemšanas rezultātā iegūst piekļuvi krātuvēm, ir viens no bīstamākajiem draudiem, jo veiksmīga uzbrukuma gadījumā populāros produktos un bibliotēkās, kas tiek izmantotas kā atkarības, var tikt veiktas ļaunprātīgas izmaiņas.
Avots: opennet.ru