GitHub oznámil prechod na povinnú dvojfaktorovú autentifikáciu pre všetkých používateľov, ktorí zverejňujú kód na GitHub.com. V prvej fáze, v marci 2023, sa pre určité skupiny používateľov začne uplatňovať povinná dvojfaktorová autentifikácia, ktorá postupne pokrýva stále nové a nové kategórie.
V prvom rade sa zmena dotkne vývojárov, ktorí zverejňujú balíčky, aplikácie OAuth a GitHub handlery, vydania formulárov, podieľajú sa na vývoji projektov dôležitých pre ekosystémy npm, OpenSSF, PyPI a RubyGems, ako aj tých, ktorí sa podieľajú na práci na štyroch milión najpopulárnejších úložísk. Do konca roku 2023 má GitHub v úmysle úplne zakázať všetkým používateľom možnosť odosielať zmeny bez použitia dvojfaktorovej autentifikácie. Keď sa blíži okamih prechodu na dvojfaktorovú autentifikáciu, používateľom budú zasielané e-mailové upozornenia a v rozhraní sa budú zobrazovať upozornenia.
Nová požiadavka zvýši bezpečnosť vývojového procesu a zabezpečí úložiská pred škodlivými zmenami v dôsledku uniknutých prihlasovacích údajov, použitím rovnakého hesla na napadnutej stránke, hacknutím lokálneho systému vývojára alebo použitím metód sociálneho inžinierstva. Podľa GitHubu je získanie prístupu k úložiskám útočníkmi v dôsledku únosu účtu jednou z najnebezpečnejších hrozieb, keďže v prípade úspešného útoku je možné vykonať skryté zmeny v obľúbených produktoch a knižniciach používaných ako závislosti.
Okrem toho môžeme zaznamenať začiatok poskytovania bezplatnej služby všetkým používateľom verejných úložísk na GitHub na sledovanie náhodného zverejnenia dôverných údajov, ako sú šifrovacie kľúče, heslá do DBMS a prístupové tokeny API. Celkovo bolo implementovaných viac ako 200 šablón na identifikáciu rôznych typov kľúčov, tokenov, certifikátov a poverení. Aby sa predišlo falošným poplachom, kontrolujú sa iba zaručené typy tokenov. Do konca januára bude možnosť dostupná len pre účastníkov beta testovacieho programu, po ktorom budú môcť službu využívať všetci.
Zdroj: opennet.ru