GitHub ประกาศความเคลื่อนไหวเพื่อกำหนดให้ต้องมีการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ทุกคนที่เผยแพร่โค้ดบน GitHub.com ในช่วงแรกของเดือนมีนาคม 2023 การรับรองความถูกต้องด้วยสองปัจจัยแบบบังคับจะเริ่มนำไปใช้กับผู้ใช้บางกลุ่ม โดยจะค่อยๆ ครอบคลุมหมวดหมู่ใหม่ๆ มากขึ้นเรื่อยๆ
การเปลี่ยนแปลงส่วนใหญ่จะส่งผลกระทบต่อนักพัฒนาที่เผยแพร่แพ็คเกจ แอปพลิเคชัน OAuth และตัวจัดการ GitHub สร้างการเผยแพร่ มีส่วนร่วมในการพัฒนาโปรเจ็กต์ที่สำคัญต่อระบบนิเวศ npm, OpenSSF, PyPI และ RubyGems รวมถึงผู้ที่เกี่ยวข้องกับการทำงานบนสี่ล้านที่ได้รับความนิยมสูงสุด ที่เก็บ ภายในสิ้นปี 2023 GitHub ตั้งใจที่จะปิดการใช้งานความสามารถนี้โดยสิ้นเชิงสำหรับผู้ใช้ทุกคนในการพุชการเปลี่ยนแปลงโดยไม่ต้องใช้การตรวจสอบสิทธิ์แบบสองปัจจัย เมื่อถึงเวลาเปลี่ยนมาใช้การตรวจสอบสิทธิ์แบบสองปัจจัย ผู้ใช้จะได้รับการแจ้งเตือนทางอีเมลและคำเตือนจะแสดงในอินเทอร์เฟซ
ข้อกำหนดใหม่จะเสริมสร้างการป้องกันกระบวนการพัฒนาและปกป้องที่เก็บข้อมูลจากการเปลี่ยนแปลงที่เป็นอันตรายอันเป็นผลมาจากข้อมูลประจำตัวที่รั่วไหล การใช้รหัสผ่านเดียวกันบนไซต์ที่ถูกบุกรุก การแฮ็กระบบท้องถิ่นของนักพัฒนา หรือการใช้วิธีการวิศวกรรมสังคม จากข้อมูลของ GitHub ผู้โจมตีที่เข้าถึงพื้นที่เก็บข้อมูลอันเป็นผลมาจากการครอบครองบัญชีถือเป็นภัยคุกคามที่อันตรายที่สุดอย่างหนึ่ง เนื่องจากในกรณีที่การโจมตีสำเร็จ การเปลี่ยนแปลงที่ซ่อนอยู่สามารถเกิดขึ้นกับผลิตภัณฑ์และไลบรารียอดนิยมที่ใช้เป็นสิ่งอ้างอิงได้
นอกจากนี้ เรายังทราบถึงจุดเริ่มต้นของการให้บริการผู้ใช้พื้นที่เก็บข้อมูลสาธารณะบน GitHub ทุกคนด้วยบริการฟรีสำหรับการติดตามการเผยแพร่ข้อมูลที่เป็นความลับโดยไม่ตั้งใจ เช่น คีย์การเข้ารหัส รหัสผ่าน DBMS และโทเค็นการเข้าถึง API โดยรวมแล้วมีการใช้เทมเพลตมากกว่า 200 รายการเพื่อระบุคีย์ โทเค็น ใบรับรอง และข้อมูลประจำตัวประเภทต่างๆ เพื่อกำจัดผลบวกลวง จะมีการตรวจสอบเฉพาะประเภทโทเค็นที่รับประกันเท่านั้น จนถึงสิ้นเดือนมกราคม โอกาสนี้จะมีให้เฉพาะผู้เข้าร่วมโปรแกรมการทดสอบเบต้าเท่านั้น หลังจากนั้นทุกคนจะสามารถใช้บริการได้
ที่มา: opennet.ru