O GitHub anunciou uma mudança para exigir autenticação de dois fatores para todos os usuários que publicam código no GitHub.com. Numa primeira fase, em março de 2023, a autenticação obrigatória de dois fatores começará a ser aplicada a determinados grupos de utilizadores, abrangendo gradualmente cada vez mais novas categorias.
A mudança afetará principalmente os desenvolvedores que publicam pacotes, aplicativos OAuth e manipuladores GitHub, criam lançamentos, participam do desenvolvimento de projetos críticos para os ecossistemas npm, OpenSSF, PyPI e RubyGems, bem como aqueles envolvidos no trabalho nos quatro milhões mais populares. repositórios. Até o final de 2023, o GitHub pretende desativar completamente a capacidade de todos os usuários enviarem alterações sem usar autenticação de dois fatores. À medida que se aproxima o momento de transição para a autenticação de dois fatores, os usuários receberão notificações por e-mail e avisos serão exibidos na interface.
O novo requisito fortalecerá a proteção do processo de desenvolvimento e protegerá os repositórios contra alterações maliciosas como resultado de vazamento de credenciais, uso da mesma senha em um site comprometido, invasão do sistema local do desenvolvedor ou uso de métodos de engenharia social. De acordo com o GitHub, os invasores que obtêm acesso aos repositórios como resultado do controle de contas são uma das ameaças mais perigosas, pois no caso de um ataque bem-sucedido, alterações ocultas podem ser feitas em produtos populares e bibliotecas usadas como dependências.
Além disso, podemos notar o início da disponibilização de todos os usuários de repositórios públicos no GitHub com um serviço gratuito de rastreamento de publicação acidental de dados confidenciais, como chaves de criptografia, senhas de SGBD e tokens de acesso à API. No total, foram implementados mais de 200 modelos para identificar diferentes tipos de chaves, tokens, certificados e credenciais. Para eliminar falsos positivos, apenas os tipos de token garantidos são verificados. Até o final de janeiro, a oportunidade estará disponível apenas para participantes do programa de testes beta, após o qual todos poderão utilizar o serviço.
Fonte: opennet.ru