GitHub 宣布將分階段過渡到對所有發布程式碼的用戶強制實施雙重認證。從 13 月 XNUMX 日起,強制雙重認證將應用於特定使用者群體,並逐步涵蓋越來越多的新類別。首先,對於發佈軟體包、OAuth 應用程式和 GitHub 處理程序、創建版本、參與 npm、OpenSSF、PyPI 和 RubyGems 生態系統關鍵專案開發以及參與四百萬個最受歡迎存儲庫工作的開發者,雙因素身份驗證將成為強制要求。
到 2023 年底,GitHub 將停用所有使用者在不使用雙重認證的情況下推送變更的功能。隨著向雙重認證過渡的臨近,用戶將收到電子郵件通知和應用程式內警告。發出第一次警告後,開發人員有 45 天的時間來設定雙重認證。
對於雙重認證,您可以使用行動應用程式、簡訊確認或附加存取金鑰。雙重認證的首選選項是使用產生基於時間的一次性密碼(TOTP)的應用程序,例如 Authy、Google Authenticator 和 FreeOTP。
使用雙重認證將有助於加強開發流程的安全性,並保護儲存庫免受因憑證外洩、在受感染網站上使用相同密碼、駭客入侵開發人員的本機系統或使用社會工程方法而造成的惡意變更。據 GitHub 稱,攻擊者透過接管帳戶來獲取儲存庫存取權限是最危險的威脅之一,因為成功的攻擊可能導致惡意變更插入到用作依賴項的流行產品和庫中。
來源: opennet.ru
