GitHub ngumumkeun hiji gerakan merlukeun auténtikasi dua-faktor pikeun sakabéh pamaké kode penerbitan on GitHub.com. Dina tahap kahiji dina Maret 2023, auténtikasi dua-faktor wajib bakal mimiti dilarapkeun ka grup pamaké nu tangtu, laun-laun ngawengku beuki loba kategori anyar.
Parobihan éta utamina bakal mangaruhan pamekar anu nyebarkeun bungkusan, aplikasi OAuth sareng pawang GitHub, nyiptakeun sékrési, ilubiung dina pamekaran proyék anu penting pikeun ékosistem npm, OpenSSF, PyPI sareng RubyGems, ogé anu kalibet dina damel dina opat juta anu pang populerna. repositories. Nepi ka tungtun taun 2023, GitHub intends sagemblengna nganonaktipkeun kamampuhan pikeun sakabéh pamaké pikeun nyorong parobahan tanpa ngagunakeun auténtikasi dua-faktor. Nalika momen transisi ka auténtikasi dua faktor ngadeukeutan, pangguna bakal dikirim béwara email sareng peringatan bakal ditingalikeun dina antarmuka.
Sarat anyar bakal nguatkeun panangtayungan prosés ngembangkeun sarta ngajaga repositories tina parobahan jahat salaku hasil tina Kapercayaan bocor, pamakéan sandi sarua dina situs compromised, Hacking sistem lokal pamekar urang, atawa pamakéan métode rékayasa sosial. Numutkeun kana GitHub, panyerang anu kéngingkeun aksés kana repositori salaku hasil tina panyandang akun mangrupikeun salah sahiji ancaman anu paling bahaya, sabab upami aya serangan anu suksés, parobihan disumputkeun tiasa dilakukeun pikeun produk populér sareng perpustakaan anu dianggo salaku dependensi.
Salaku tambahan, urang tiasa nyatet awal nyayogikeun sadaya pangguna repositori umum di GitHub kalayan layanan gratis pikeun nyukcruk publikasi data rahasia anu teu kahaja, sapertos konci enkripsi, kecap akses DBMS sareng token aksés API. Dina total, leuwih ti 200 témplat geus dilaksanakeun pikeun ngaidentipikasi tipena béda konci, tokens, sertipikat jeung credentials. Pikeun ngaleungitkeun positip palsu, ngan ukur jinis token anu dijamin anu dipariksa. Dugi ka akhir Januari, kasempetan éta bakal sayogi ngan ukur pikeun pamilon dina program uji beta, saatos éta sadayana tiasa nganggo jasa éta.
sumber: opennet.ru