GitHub heeft een stap aangekondigd om tweefactorauthenticatie te vereisen voor alle gebruikers die code publiceren op GitHub.com. In de eerste fase, in maart 2023, zal verplichte tweefactorauthenticatie van toepassing worden op bepaalde groepen gebruikers, waardoor geleidelijk steeds meer nieuwe categorieën zullen worden bestreken.
De verandering zal in de eerste plaats gevolgen hebben voor ontwikkelaars die pakketten, OAuth-applicaties en GitHub-handlers publiceren, releases maken, deelnemen aan de ontwikkeling van projecten die cruciaal zijn voor de npm-, OpenSSF-, PyPI- en RubyGems-ecosystemen, evenals voor degenen die betrokken zijn bij het werk aan de vier miljoen meest populaire opslagplaatsen. Tegen eind 2023 wil GitHub de mogelijkheid voor alle gebruikers om wijzigingen door te voeren volledig uitschakelen zonder gebruik te maken van tweefactorauthenticatie. Naarmate het moment van de overgang naar tweefactorauthenticatie nadert, krijgen gebruikers e-mailmeldingen en worden waarschuwingen in de interface weergegeven.
De nieuwe vereiste zal de bescherming van het ontwikkelingsproces versterken en opslagplaatsen beschermen tegen kwaadwillige wijzigingen als gevolg van gelekte inloggegevens, gebruik van hetzelfde wachtwoord op een gecompromitteerde site, hacking van het lokale systeem van de ontwikkelaar of het gebruik van social engineering-methoden. Volgens GitHub is het verkrijgen van toegang tot repository's als gevolg van het overnemen van accounts een van de gevaarlijkste bedreigingen, omdat bij een succesvolle aanval verborgen wijzigingen kunnen worden aangebracht in populaire producten en bibliotheken die als afhankelijkheden worden gebruikt.
Bovendien kunnen we het begin vaststellen van het aanbieden van een gratis service aan alle gebruikers van openbare repository's op GitHub voor het volgen van de onbedoelde publicatie van vertrouwelijke gegevens, zoals encryptiesleutels, DBMS-wachtwoorden en API-toegangstokens. In totaal zijn er meer dan 200 sjablonen geïmplementeerd om verschillende soorten sleutels, tokens, certificaten en inloggegevens te identificeren. Om valse positieven te elimineren, worden alleen gegarandeerde tokentypen gecontroleerd. Tot eind januari is de mogelijkheid alleen beschikbaar voor deelnemers aan het bètatestprogramma, waarna iedereen van de dienst gebruik kan maken.
Bron: opennet.ru