GitHub je napovedal začetek postopnega prehoda kode za objavljanje vseh uporabnikov na obvezno dvofaktorsko avtentikacijo. S 13. marcem bo za določene skupine uporabnikov začela veljati obvezna dvostopenjska avtentikacija, ki postopoma zajema vedno več novih kategorij. Najprej bo dvofaktorska avtentikacija postala obvezna za razvijalce, ki objavljajo pakete, aplikacije OAuth in upravljavce GitHub, ustvarjajo izdaje, sodelujejo pri razvoju projektov, ki so kritični za ekosisteme npm, OpenSSF, PyPI in RubyGems, pa tudi za tiste, ki sodelujejo pri delu. na štirih milijonih najbolj priljubljenih repozitorijev.
Do konca leta 2023 GitHub vsem uporabnikom ne bo več omogočal potiskanja sprememb brez uporabe dvofaktorske avtentikacije. Ko se bliža trenutek prehoda na dvostopenjsko avtentikacijo, bodo uporabniki prejeli obvestila po e-pošti, v vmesniku pa bodo prikazana opozorila. Po pošiljanju prvega opozorila ima razvijalec 45 dni časa za nastavitev dvostopenjske avtentikacije.
Za dvostopenjsko avtentikacijo lahko uporabite mobilno aplikacijo, SMS preverjanje ali priložite ključ za dostop. Za dvostopenjsko avtentikacijo priporočamo uporabo aplikacij, ki ustvarjajo časovno omejena enkratna gesla (TOTP), kot so Authy, Google Authenticator in FreeOTP, kot prednostno možnost.
Uporaba dvostopenjske avtentikacije bo izboljšala zaščito razvojnega procesa in zaščitila repozitorije pred zlonamernimi spremembami, ki so posledica razkritih poverilnic, uporabe istega gesla na ogroženem spletnem mestu, vdiranja v razvijalčev lokalni sistem ali uporabe socialnih inženirske metode. Po GitHubu so napadalci, ki pridobijo dostop do repozitorijev zaradi prevzema računa, ena najnevarnejših groženj, saj lahko v primeru uspešnega napada pride do zlonamernih sprememb priljubljenih izdelkov in knjižnic, ki se uporabljajo kot odvisnosti.
Vir: opennet.ru