GitHub imetangaza mpito kwa uthibitishaji wa lazima wa sababu mbili kwa watumiaji wote wa nambari ya kuchapisha kwenye GitHub.com. Katika hatua ya kwanza, mnamo Machi 2023, uthibitishaji wa lazima wa sababu mbili utaanza kutumika kwa vikundi fulani vya watumiaji, hatua kwa hatua kufunika aina mpya zaidi na zaidi.
Kwanza kabisa, mabadiliko hayo yataathiri watengenezaji ambao wanachapisha vifurushi, programu za OAuth na vidhibiti vya GitHub, matoleo ya fomu, kushiriki katika uundaji wa miradi muhimu kwa mifumo ya mazingira ya npm, OpenSSF, PyPI na RubyGems, na vile vile wale wanaohusika katika kazi hiyo kwa nne. milioni ya hazina maarufu zaidi. Hadi mwisho wa 2023, GitHub inakusudia kuzima kabisa uwezo wa watumiaji wote kuwasilisha mabadiliko bila kutumia uthibitishaji wa sababu mbili. Wakati wa mpito hadi uthibitishaji wa vipengele viwili unavyokaribia, watumiaji watatumiwa arifa za barua pepe na maonyo yataonyeshwa kwenye kiolesura.
Mahitaji mapya yataongeza usalama wa mchakato wa uundaji na kulinda hazina kutokana na mabadiliko mabaya yanayotokana na kitambulisho kilichovuja, kwa kutumia nenosiri lile lile kwenye tovuti iliyoathiriwa, kudukua mfumo wa ndani wa msanidi programu, au kutumia mbinu za uhandisi wa kijamii. Kulingana na GitHub, kupata ufikiaji wa hazina na washambuliaji kama matokeo ya utekaji nyara wa akaunti ni moja ya vitisho hatari zaidi, kwani katika tukio la shambulio lililofanikiwa, mabadiliko yaliyofichwa yanaweza kufanywa katika bidhaa maarufu na maktaba zinazotumiwa kama tegemezi.
Zaidi ya hayo, tunaweza kutambua mwanzo wa kuwapa watumiaji wote wa hazina za umma kwenye GitHub huduma isiyolipishwa ya kufuatilia uchapishaji wa data ya siri kwa bahati mbaya, kama vile funguo za usimbaji fiche, nenosiri kwa DBMS, na tokeni za ufikiaji za API. Kwa jumla, zaidi ya violezo 200 vimetekelezwa ili kutambua aina mbalimbali za funguo, tokeni, vyeti na vitambulisho. Ili kuepuka chanya za uwongo, aina za tokeni zilizohakikishwa pekee ndizo zinazoangaliwa. Hadi mwisho wa Januari, fursa hiyo itapatikana tu kwa washiriki katika mpango wa kupima beta, baada ya hapo kila mtu ataweza kutumia huduma.
Chanzo: opennet.ru