GitHub оголосив про початок поетапного переведення всіх користувачів, які публікують код, на обов'язкову двофакторну автентифікацію. З 13 березня обов'язкова двофакторна автентифікація почне застосовуватися для окремих груп користувачів, поступово охоплюючи нові й нові категорії. В першу чергу двофакторна автентифікація стане обов'язковою для розробників, що публікують пакети, OAuth-додатки і GitHub-обробники, що формують релізи, що беруть участь у розробці проектів, критично важливих для екосистем npm, OpenSSF, PyPI і RubyGems, а також популярних репозиторіїв.
До кінця 2023 року GitHub можливість відправлення змін без застосування двофакторної автентифікації буде заборонено всім користувачам. У міру наближення моменту переведення на двофакторну автентифікацію користувачам надсилатимуться email-повідомлення та виводитимуться попередження в інтерфейсі. Після надсилання першого попередження розробнику дається 45 днів на налаштування двофакторної автентифікації.
Для двофакторної автентифікації можна використовувати мобільний додаток, підтвердження через SMS або прикріплення ключа доступу. Як пріоритетний варіант для двофакторної автентифікації рекомендується використовувати програми, що створюють одноразові паролі з обмеженим терміном дії (TOTP), такі як Authy, Google Authenticator і FreeOTP.
Застосування двофакторної аутентифікації дозволить посилити захист процесу розробки та убезпечити репозиторії від внесення шкідливих змін у результаті витоку облікових даних, використання того ж пароля на скомпрометованому сайті, зламів локальної системи розробника або застосування методів соціального інжинірингу. На думку GitHub отримання зловмисниками доступу до репозиторій в результаті захоплення облікових записів є однією з найнебезпечніших загроз, оскільки у разі успішної атаки може бути здійснена підстановка шкідливих змін у популярні продукти та бібліотеки, що використовуються як залежність.
Джерело: opennet.ru