GitHub анонсував переклад на обов'язкову двофакторну аутентифікацію всіх користувачів, які публікують код на GitHub.com. На першому етапі в березні 2023 року обов'язкова двофакторна автентифікація почне застосовуватися для окремих груп користувачів, поступово охоплюючи нові і нові категорії.
У першу чергу зміна торкнеться розробників, що публікують пакети, OAuth-додатки та GitHub-обробники, що формують релізи, що беруть участь у розробці проектів, критично важливих для екосистем npm, OpenSSF, PyPI і RubyGems, а також залучених до роботи над чотирма популярними. До кінця 2023 року GitHub має намір повністю заборонити всім користувачам можливість відправлення змін без застосування двофакторної аутентифікації. У міру наближення моменту переведення на двофакторну автентифікацію користувачам надсилатимуться email-повідомлення та виводитимуться попередження в інтерфейсі.
Нова вимога дозволить посилити захист процесу розробки та убезпечити репозиторії від внесення шкідливих змін в результаті витоку облікових даних, використання того ж пароля на скомпрометованому сайті, зламів локальної системи розробника або застосування методів соціального інжинірингу. На думку GitHub отримання зловмисниками доступу до репозиторій в результаті захоплення облікових записів є однією з найнебезпечніших загроз, оскільки у разі успішної атаки може бути здійснена підстановка прихованих змін до популярних продуктів та бібліотек, які використовуються як залежність.
Додатково можна відзначити початок надання всім користувачам публічних репозиторіїв на GitHub безкоштовного сервісу для відстеження випадкової публікації конфіденційних даних, таких як ключі шифрування, паролі до СУБД та токени доступу до API. Усього реалізовано понад 200 шаблонів для виявлення різних видів ключів, токенів, сертифікатів та облікових даних. Для виключення помилкових спрацьовувань перевіряються лише типи токенів, що гарантовано визначаються. До кінця січня можливість буде доступна лише для учасників програми бета-тестування, після чого сервісом зможуть скористатися всі охочі.
Джерело: opennet.ru