GitHub ogłosił przejście na obowiązkowe uwierzytelnianie dwuskładnikowe dla wszystkich użytkowników publikujących kod na GitHub.com. W pierwszym etapie, już w marcu 2023 r., dla niektórych grup użytkowników zacznie obowiązywać obowiązkowe uwierzytelnianie dwuskładnikowe, stopniowo obejmujące coraz to nowe kategorie.
Przede wszystkim zmiana dotknie deweloperów, którzy publikują pakiety, aplikacje OAuth i procedury obsługi GitHub, tworzą wydania, uczestniczą w rozwoju projektów krytycznych dla ekosystemów npm, OpenSSF, PyPI i RubyGems, a także osób zaangażowanych w prace nad czterema milionów najpopularniejszych repozytoriów. Do końca 2023 roku GitHub zamierza całkowicie wyłączyć dla wszystkich użytkowników możliwość przesyłania zmian bez korzystania z uwierzytelniania dwuskładnikowego. W miarę zbliżania się momentu przejścia na uwierzytelnianie dwuskładnikowe do użytkowników będą wysyłane powiadomienia e-mailowe, a w interfejsie będą wyświetlane ostrzeżenia.
Nowy wymóg zwiększy bezpieczeństwo procesu programowania i zabezpieczy repozytoria przed złośliwymi zmianami w wyniku wycieku danych uwierzytelniających, użycia tego samego hasła w zaatakowanej witrynie, włamania się do lokalnego systemu programisty lub wykorzystania metod socjotechniki. Zdaniem GitHuba uzyskanie przez atakujących dostępu do repozytoriów w wyniku przejęcia konta jest jednym z najniebezpieczniejszych zagrożeń, gdyż w przypadku udanego ataku można dokonać ukrytych zmian w popularnych produktach i bibliotekach wykorzystywanych jako zależności.
Dodatkowo można odnotować początek udostępniania wszystkim użytkownikom publicznych repozytoriów na GitHubie bezpłatnej usługi śledzenia przypadkowej publikacji poufnych danych, takich jak klucze szyfrujące, hasła do SZBD czy tokeny dostępu do API. Łącznie wdrożono ponad 200 szablonów identyfikujących różnego rodzaju klucze, tokeny, certyfikaty i dane uwierzytelniające. Aby uniknąć fałszywych alarmów, sprawdzane są tylko gwarantowane typy tokenów. Do końca stycznia z możliwości będą mogli skorzystać jedynie uczestnicy programu beta testów, po których każdy będzie mógł korzystać z usługi.
Źródło: opennet.ru