GitHub đã công bố động thái yêu cầu xác thực hai yếu tố đối với tất cả người dùng xuất bản mã trên GitHub.com. Ở giai đoạn đầu tiên vào tháng 2023 năm XNUMX, xác thực hai yếu tố bắt buộc sẽ bắt đầu áp dụng cho một số nhóm người dùng nhất định, dần dần bao phủ ngày càng nhiều danh mục mới.
Thay đổi này chủ yếu sẽ ảnh hưởng đến các nhà phát triển xuất bản gói, ứng dụng OAuth và trình xử lý GitHub, tạo bản phát hành, tham gia phát triển các dự án quan trọng đối với hệ sinh thái npm, OpenSSF, PyPI và RubyGems, cũng như những người tham gia vào công việc trên bốn triệu nền tảng phổ biến nhất. kho lưu trữ. Đến cuối năm 2023, GitHub dự định vô hiệu hóa hoàn toàn khả năng tất cả người dùng thực hiện các thay đổi mà không cần sử dụng xác thực hai yếu tố. Khi thời điểm chuyển sang xác thực hai yếu tố đang đến gần, người dùng sẽ nhận được email thông báo và cảnh báo sẽ hiển thị trên giao diện.
Yêu cầu mới sẽ tăng cường bảo vệ quá trình phát triển và bảo vệ các kho lưu trữ khỏi những thay đổi độc hại do thông tin xác thực bị rò rỉ, sử dụng cùng một mật khẩu trên một trang web bị xâm nhập, hack hệ thống cục bộ của nhà phát triển hoặc sử dụng các phương pháp kỹ thuật xã hội. Theo GitHub, những kẻ tấn công giành được quyền truy cập vào kho lưu trữ do chiếm đoạt tài khoản là một trong những mối đe dọa nguy hiểm nhất, vì trong trường hợp tấn công thành công, những thay đổi ẩn có thể được thực hiện đối với các sản phẩm và thư viện phổ biến được sử dụng làm phụ thuộc.
Ngoài ra, chúng tôi có thể lưu ý việc bắt đầu cung cấp cho tất cả người dùng kho lưu trữ công khai trên GitHub một dịch vụ miễn phí để theo dõi việc vô tình xuất bản dữ liệu bí mật, chẳng hạn như khóa mã hóa, mật khẩu DBMS và mã thông báo truy cập API. Tổng cộng, hơn 200 mẫu đã được triển khai để xác định các loại khóa, mã thông báo, chứng chỉ và thông tin xác thực khác nhau. Để loại bỏ các kết quả dương tính giả, chỉ các loại mã thông báo được đảm bảo mới được kiểm tra. Cho đến cuối tháng XNUMX, cơ hội sẽ chỉ dành cho những người tham gia chương trình thử nghiệm beta, sau đó mọi người sẽ có thể sử dụng dịch vụ.
Nguồn: opennet.ru