GitHub har meddelat en övergång till obligatorisk tvåfaktorsautentisering för alla användare som publicerar kod på GitHub.com. I ett första skede, i mars 2023, kommer obligatorisk tvåfaktorsautentisering att börja tillämpas för vissa användargrupper, som successivt omfattar fler och fler nya kategorier.
Först och främst kommer förändringen att påverka utvecklare som publicerar paket, OAuth-applikationer och GitHub-hanterare, formulärreleaser, deltar i utvecklingen av projekt som är kritiska för npm, OpenSSF, PyPI och RubyGems ekosystem, samt de som är involverade i arbetet med fyra miljoner av de mest populära förråden. Fram till slutet av 2023 har GitHub för avsikt att helt inaktivera möjligheten för alla användare att skicka in ändringar utan att använda tvåfaktorsautentisering. När övergången till tvåfaktorsautentisering närmar sig kommer användarna att få e-postmeddelanden och varningar kommer att visas i gränssnittet.
Det nya kravet kommer att öka säkerheten i utvecklingsprocessen och säkra förråd från skadliga ändringar på grund av läckta referenser, använda samma lösenord på en komprometterad webbplats, hacka utvecklarens lokala system eller använda sociala ingenjörsmetoder. Enligt GitHub är att få tillgång till förråd av angripare som ett resultat av kontokapning ett av de farligaste hoten, eftersom i händelse av en framgångsrik attack kan dolda ändringar utföras i populära produkter och bibliotek som används som beroenden.
Dessutom kan vi notera början på att förse alla användare av offentliga arkiv på GitHub med en gratis tjänst för att spåra oavsiktlig publicering av konfidentiell data, såsom krypteringsnycklar, lösenord till DBMS och API-åtkomsttokens. Totalt har mer än 200 mallar implementerats för att identifiera olika typer av nycklar, tokens, certifikat och referenser. För att undvika falska positiva resultat kontrolleras endast garanterade tokentyper. Fram till slutet av januari kommer möjligheten endast att vara tillgänglig för deltagare i betatestprogrammet, varefter alla kommer att kunna använda tjänsten.
Källa: opennet.ru