GitHub 宣布开始分阶段向所有发布代码的用户过渡到强制双因素身份验证。 13月XNUMX日起,强制二步认证将开始针对特定用户群体,并逐步覆盖越来越多的新类别。 首先,对于发布包、OAuth 应用程序和 GitHub 处理程序、创建版本、参与对 npm、OpenSSF、PyPI 和 RubyGems 生态系统至关重要的项目开发以及参与工作的开发人员来说,双因素身份验证将成为强制要求在四百万个最受欢迎的存储库上。
到 2023 年底,GitHub 将不再允许所有用户在不使用双因素身份验证的情况下推送更改。 随着过渡到双因素身份验证的时刻临近,用户将收到电子邮件通知,并且界面中将显示警告。 发送第一次警告后,开发人员有 45 天的时间来设置双因素身份验证。
对于双因素身份验证,您可以使用移动应用程序、短信验证或附加访问密钥。 对于双因素身份验证,我们建议使用可生成限时一次性密码 (TOTP) 的应用程序,例如 Authy、Google Authenticator 和 FreeOTP 作为您的首选。
使用双因素身份验证将增强对开发过程的保护,并保护存储库免受因凭据泄露、在受感染站点上使用相同密码、开发人员本地系统遭到黑客攻击或使用社交媒体而导致的恶意更改。工程方法。 根据 GitHub 的说法,攻击者通过帐户接管来访问存储库是最危险的威胁之一,因为如果攻击成功,可以对用作依赖项的流行产品和库进行恶意更改。
来源: opennet.ru