GitHub kunngjorde et trekk for å kreve tofaktorautentisering for alle brukere som publiserer kode på GitHub.com. På første trinn i mars 2023 vil obligatorisk tofaktorautentisering begynne å gjelde for visse brukergrupper, og gradvis dekke flere og flere nye kategorier.
Endringen vil først og fremst påvirke utviklere som publiserer pakker, OAuth-applikasjoner og GitHub-behandlere, lager utgivelser, deltar i utviklingen av prosjekter som er kritiske for npm, OpenSSF, PyPI og RubyGems-økosystemene, samt de som er involvert i arbeidet med de fire millioner mest populære. depoter. Innen utgangen av 2023 har GitHub til hensikt å fullstendig deaktivere muligheten for alle brukere til å pushe endringer uten å bruke tofaktorautentisering. Når overgangen til tofaktorautentisering nærmer seg, vil brukerne få tilsendt e-postvarsler og advarsler vises i grensesnittet.
Det nye kravet vil styrke beskyttelsen av utviklingsprosessen og beskytte depotene mot ondsinnede endringer som følge av lekket legitimasjon, bruk av samme passord på et kompromittert nettsted, hacking av utviklerens lokale system eller bruk av sosiale ingeniørmetoder. Ifølge GitHub er angripere som får tilgang til depoter som følge av kontoovertakelse en av de farligste truslene, siden i tilfelle et vellykket angrep kan det gjøres skjulte endringer i populære produkter og biblioteker som brukes som avhengigheter.
I tillegg kan vi merke begynnelsen på å gi alle brukere av offentlige depoter på GitHub en gratis tjeneste for sporing av utilsiktet publisering av konfidensielle data, slik som krypteringsnøkler, DBMS-passord og API-tilgangstokener. Totalt er mer enn 200 maler implementert for å identifisere ulike typer nøkler, tokens, sertifikater og legitimasjon. For å eliminere falske positiver, er det kun garanterte tokentyper som kontrolleres. Frem til slutten av januar vil muligheten kun være tilgjengelig for deltakere i betatestprogrammet, hvoretter alle vil kunne bruke tjenesten.
Kilde: opennet.ru