GitHub 已宣布對在 GitHub.com 上發布代碼的所有用戶過渡到強制雙因素身份驗證。 第一階段,2023年XNUMX月,將開始對部分用戶群體實施強制二步認證,並逐步覆蓋越來越多的新類別。
首先,這一變化將影響發布包、OAuth 應用程序和GitHub 處理程序、表單發布、參與對npm、OpenSSF、PyPI 和RubyGems 生態系統至關重要的項目開發的開發人員,以及參與四個方面工作的開發人員百萬個最受歡迎的存儲庫。 到 2023 年底,GitHub 打算完全禁用所有用戶在不使用雙因素身份驗證的情況下提交更改的能力。 隨著過渡到雙因素身份驗證的時刻臨近,用戶將收到電子郵件通知,並且界面中將顯示警告。
新要求將提高開發過程的安全性,並保護存儲庫免受因憑據洩露、在受感染網站上使用相同密碼、黑客攻擊開發人員本地系統或使用社會工程方法而導致的惡意更改。 根據 GitHub 的說法,攻擊者通過帳戶劫持來訪問存儲庫是最危險的威脅之一,因為如果攻擊成功,可以在用作依賴項的流行產品和庫中執行隱藏的更改。
此外,我們可以注意到,我們開始向 GitHub 上公共存儲庫的所有用戶提供免費服務,以跟踪機密數據的意外發布,例如加密密鑰、DBMS 密碼和 API 訪問令牌。 總共已經實施了 200 多個模板來識別各種類型的密鑰、令牌、證書和憑證。 為了避免誤報,僅檢查有保證的令牌類型。 直到一月底,該機會僅向 Beta 測試計劃的參與者開放,之後每個人都可以使用該服務。
來源: opennet.ru