Inihayag ng GitHub ang isang hakbang upang mangailangan ng two-factor authentication para sa lahat ng user na nag-publish ng code sa GitHub.com. Sa unang yugto sa Marso 2023, magsisimulang ilapat ang mandatoryong two-factor authentication sa ilang partikular na grupo ng mga user, na unti-unting sumasaklaw sa parami nang paraming bagong kategorya.
Pangunahing maaapektuhan ng pagbabago ang mga developer na nag-publish ng mga package, OAuth application at mga tagapangasiwa ng GitHub, gumagawa ng mga release, lumalahok sa pagbuo ng mga proyektong kritikal sa npm, OpenSSF, PyPI at RubyGems ecosystem, gayundin sa mga kasangkot sa trabaho sa apat na milyong pinakasikat mga repositoryo. Sa pagtatapos ng 2023, nilalayon ng GitHub na ganap na huwag paganahin ang kakayahan ng lahat ng user na magtulak ng mga pagbabago nang hindi gumagamit ng two-factor authentication. Habang papalapit ang sandali ng paglipat sa two-factor authentication, padadalhan ang mga user ng mga notification sa email at ipapakita ang mga babala sa interface.
Palalakasin ng bagong kinakailangan ang proteksyon ng proseso ng pag-develop at protektahan ang mga repository mula sa mga malisyosong pagbabago bilang resulta ng mga leaked na kredensyal, paggamit ng parehong password sa isang nakompromisong site, pag-hack ng lokal na sistema ng developer, o paggamit ng mga pamamaraan ng social engineering. Ayon sa GitHub, ang mga umaatake na nakakakuha ng access sa mga repository bilang resulta ng pagkuha ng account ay isa sa mga pinaka-mapanganib na banta, dahil sa kaganapan ng isang matagumpay na pag-atake, ang mga nakatagong pagbabago ay maaaring gawin sa mga sikat na produkto at library na ginagamit bilang mga dependency.
Bukod pa rito, mapapansin natin ang simula ng pagbibigay sa lahat ng user ng mga pampublikong repositoryo sa GitHub ng libreng serbisyo para sa pagsubaybay sa hindi sinasadyang paglalathala ng kumpidensyal na data, gaya ng mga encryption key, DBMS password at API access token. Sa kabuuan, higit sa 200 mga template ang ipinatupad upang matukoy ang iba't ibang uri ng mga susi, token, sertipiko at kredensyal. Upang alisin ang mga maling positibo, ang mga garantisadong uri ng token lamang ang sinusuri. Hanggang sa katapusan ng Enero, ang pagkakataon ay magagamit lamang sa mga kalahok sa beta testing program, pagkatapos nito ay magagamit ng lahat ang serbisyo.
Pinagmulan: opennet.ru