GitHub GitHub.com saytida kodni nashr etuvchi barcha foydalanuvchilar uchun majburiy ikki faktorli autentifikatsiyaga o‘tishni e’lon qildi. Birinchi bosqichda, 2023-yilning mart oyida, sekin-asta ko‘proq yangi toifalarni qamrab oluvchi ma’lum foydalanuvchilar guruhlari uchun majburiy ikki faktorli autentifikatsiya qo‘llanila boshlaydi.
Avvalo, o'zgarish paketlarni, OAuth ilovalarini va GitHub ishlov beruvchilarini nashr etuvchi, relizlarni shakllantiruvchi, npm, OpenSSF, PyPI va RubyGems ekotizimlari uchun muhim loyihalarni ishlab chiqishda ishtirok etadigan, shuningdek, to'rtta ishda ishtirok etuvchi ishlab chiquvchilarga ta'sir qiladi. millionlab eng mashhur omborlar. 2023-yil oxirigacha GitHub barcha foydalanuvchilar uchun ikki faktorli autentifikatsiyadan foydalanmasdan o‘zgartirishlar kiritish imkoniyatini butunlay o‘chirib qo‘ymoqchi. Ikki faktorli autentifikatsiyaga o'tish vaqti yaqinlashganda, foydalanuvchilarga elektron pochta xabarnomalari yuboriladi va interfeysda ogohlantirishlar ko'rsatiladi.
Yangi talab ishlab chiqish jarayonining xavfsizligini oshiradi va maxfiy maʼlumotlarning sizib chiqishi, buzilgan saytda bir xil paroldan foydalanish, ishlab chiquvchining mahalliy tizimini buzish yoki ijtimoiy muhandislik usullaridan foydalanish natijasida yuzaga keladigan zararli oʻzgarishlardan omborlarni himoya qiladi. GitHub ma'lumotlariga ko'ra, hisobni o'g'irlash natijasida tajovuzkorlar tomonidan omborlarga kirish huquqi eng xavfli tahdidlardan biridir, chunki muvaffaqiyatli hujum sodir bo'lgan taqdirda, qaramlik sifatida ishlatiladigan mashhur mahsulotlar va kutubxonalarda yashirin o'zgarishlar amalga oshirilishi mumkin.
Bundan tashqari, biz GitHub-dagi umumiy omborlarning barcha foydalanuvchilariga shifrlash kalitlari, DBMS parollari va API kirish tokenlari kabi maxfiy ma'lumotlarning tasodifiy e'lon qilinishini kuzatish uchun bepul xizmat ko'rsatish boshlanishini qayd etishimiz mumkin. Har xil turdagi kalitlar, tokenlar, sertifikatlar va hisobga olish ma'lumotlarini aniqlash uchun jami 200 dan ortiq shablonlar joriy qilingan. Noto'g'ri pozitivlarni oldini olish uchun faqat kafolatlangan token turlari tekshiriladi. Yanvar oyi oxirigacha imkoniyat faqat beta-test dasturi ishtirokchilariga taqdim etiladi, shundan so‘ng hamma xizmatdan foydalanishi mumkin bo‘ladi.
Manba: opennet.ru