Inihayag ng GitHub ang pagsisimula ng isang phased transition ng lahat ng user sa pag-publish ng code sa mandatoryong two-factor authentication. Simula sa Marso 13, magsisimulang ilapat ang mandatoryong two-factor authentication sa ilang partikular na grupo ng mga user, na unti-unting sumasaklaw sa parami nang paraming bagong kategorya. Una sa lahat, ang two-factor authentication ay magiging mandatory para sa mga developer na nag-publish ng mga package, OAuth application at GitHub handler, na gumagawa ng mga release, nakikilahok sa pagbuo ng mga proyektong kritikal sa npm, OpenSSF, PyPI at RubyGems ecosystem, pati na rin sa mga kasangkot sa trabaho. sa apat na milyong pinakasikat na repositoryo.
Hanggang sa katapusan ng 2023, hindi na papayagan ng GitHub ang lahat ng user na mag-push ng mga pagbabago nang hindi gumagamit ng two-factor authentication. Habang papalapit ang sandali ng paglipat sa two-factor authentication, padadalhan ang mga user ng mga notification sa email at ipapakita ang mga babala sa interface. Pagkatapos ipadala ang unang babala, bibigyan ang developer ng 45 araw para mag-set up ng two-factor authentication.
Para sa two-factor authentication, maaari kang gumamit ng mobile app, pag-verify ng SMS, o pag-attach ng access key. Para sa two-factor authentication, inirerekomenda namin ang paggamit ng mga app na bumubuo ng time-limited one-time na mga password (TOTP), gaya ng Authy, Google Authenticator, at FreeOTP bilang iyong gustong opsyon.
Ang paggamit ng two-factor authentication ay magpapahusay sa proteksyon ng proseso ng pag-develop at protektahan ang mga repository mula sa mga malisyosong pagbabago bilang resulta ng mga leaked na kredensyal, paggamit ng parehong password sa isang nakompromisong site, pag-hack ng lokal na sistema ng developer, o paggamit ng social pamamaraan ng engineering. Ayon sa GitHub, ang mga attacker na nakakakuha ng access sa mga repository bilang resulta ng account takeover ay isa sa mga pinaka-mapanganib na banta, dahil sa kaganapan ng isang matagumpay na pag-atake, ang mga nakakahamak na pagbabago ay maaaring gawin sa mga sikat na produkto at library na ginagamit bilang mga dependency.
Pinagmulan: opennet.ru