GitHub mengumumkan langkah untuk memerlukan pengesahan dua faktor untuk semua pengguna menerbitkan kod di GitHub.com. Pada peringkat pertama pada Mac 2023, pengesahan dua faktor mandatori akan mula digunakan pada kumpulan pengguna tertentu, secara beransur-ansur meliputi lebih banyak kategori baharu.
Perubahan ini akan mempengaruhi terutamanya pembangun yang menerbitkan pakej, aplikasi OAuth dan pengendali GitHub, mencipta keluaran, mengambil bahagian dalam pembangunan projek yang kritikal kepada ekosistem npm, OpenSSF, PyPI dan RubyGems, serta mereka yang terlibat dalam kerja pada empat juta yang paling popular repositori. Menjelang akhir tahun 2023, GitHub berhasrat untuk melumpuhkan sepenuhnya keupayaan semua pengguna untuk menolak perubahan tanpa menggunakan pengesahan dua faktor. Apabila detik peralihan kepada pengesahan dua faktor menghampiri, pengguna akan dihantar pemberitahuan e-mel dan amaran akan dipaparkan dalam antara muka.
Keperluan baharu itu akan mengukuhkan perlindungan proses pembangunan dan melindungi repositori daripada perubahan berniat jahat akibat daripada bukti kelayakan yang bocor, penggunaan kata laluan yang sama pada tapak yang terjejas, penggodaman sistem tempatan pembangun atau penggunaan kaedah kejuruteraan sosial. Menurut GitHub, penyerang yang mendapat akses kepada repositori hasil daripada pengambilalihan akaun adalah salah satu ancaman yang paling berbahaya, kerana sekiranya serangan berjaya, perubahan tersembunyi boleh dibuat pada produk dan perpustakaan popular yang digunakan sebagai kebergantungan.
Selain itu, kami boleh perhatikan permulaan menyediakan semua pengguna repositori awam di GitHub dengan perkhidmatan percuma untuk menjejak penerbitan data sulit secara tidak sengaja, seperti kunci penyulitan, kata laluan DBMS dan token akses API. Secara keseluruhan, lebih daripada 200 templat telah dilaksanakan untuk mengenal pasti jenis kunci, token, sijil dan bukti kelayakan yang berbeza. Untuk menghapuskan positif palsu, hanya jenis token yang dijamin disemak. Sehingga penghujung Januari, peluang akan tersedia hanya kepada peserta dalam program ujian beta, selepas itu semua orang akan dapat menggunakan perkhidmatan tersebut.
Sumber: opennet.ru