GitHub 宣布采取举措,要求所有在 GitHub.com 上发布代码的用户进行双因素身份验证。 第一阶段从2023年XNUMX月开始,强制两步认证将开始针对特定用户群体,逐步覆盖越来越多的新类别。
这一变化将主要影响发布包、OAuth 应用程序和 GitHub 处理程序、创建版本、参与对 npm、OpenSSF、PyPI 和 RubyGems 生态系统至关重要的项目开发的开发人员,以及参与 2023 万个最受欢迎的项目的开发人员存储库。 到 XNUMX 年底,GitHub 打算完全禁用所有用户在不使用双因素身份验证的情况下推送更改的能力。 随着过渡到双因素身份验证的时刻临近,用户将收到电子邮件通知,并且界面中将显示警告。
新要求将加强对开发过程的保护,并保护存储库免受因凭据泄露、在受感染网站上使用相同密码、开发人员本地系统遭到黑客攻击或使用社会工程方法而导致的恶意更改。 根据 GitHub 的说法,攻击者通过帐户接管来访问存储库是最危险的威胁之一,因为如果攻击成功,可以对用作依赖项的流行产品和库进行隐藏更改。
此外,我们还可以注意到,GitHub 开始向所有公共存储库用户提供免费服务,用于跟踪机密数据的意外发布,例如加密密钥、DBMS 密码和 API 访问令牌。 总共实施了 200 多个模板来识别不同类型的密钥、令牌、证书和凭证。 为了消除误报,仅检查有保证的令牌类型。 到一月底为止,该机会仅向 Beta 测试计划的参与者开放,之后每个人都可以使用该服务。
来源: opennet.ru