GitHub要求所有贡献代码的用户在2023年底前启用双因素认证

到2023年底,所有向github托管的存储库贡献代码的用户都必须启用一种或多种形式的2FA。

双重身份认证

所谓双重身份认证(Two-Factor Authentication),就是在账号密码以外还额外需要一种方式来确认用户身份。

GitHub正在大力推动双因素认证(2FA),要求所有向GitHub托管的存储库贡献代码的用户在2023年底前支持一种或多种形式的2FA。据最新统计,此举将影响8300万开发商。

双重身份认证目的

在解释其原因时,GitHub表示,大多数安全漏洞不是外来零日攻击的产物,而是涉及成本较低的攻击,如社会工程、证书盗窃或泄露,以及其他提供攻击者访问受害者账户的途径。被泄露的帐户可以用来窃取私有代码或对代码进行恶意更改,从而也影响应用程序用户。对更广泛的软件生态系统和供应链的下游潜在影响是巨大的。该公司表示,最好的防御是超越基于密码的身份验证。

GitHub已经不再支持Git操作和GitHub的REST API的基本认证,并要求基于电子邮件的设备验证。除了用户名和密码,2FA是一个强大的下一道防线。整个软件生态系统的 2FA 采用率总体上仍然很低。目前只有 16.5% 的 GitHub 活跃用户和 6.44% 的 npm 用户使用一种或多种形式的 2FA。

面向GitHub Mobile的2FA

GitHub最近在iOS和Android上发布了面向GitHub Mobile的2FA。那些想要配置GitHub Mobile 2FA的人可以从2022年1月开始的GitHub博客文章中学习如何配置。该公司希望提供更多的安全认证和帐户恢复选项,以及从帐户损坏中恢复的改进。

NPM注册表中排名前100的所有包的维护人员注册为强制2FA

GitHub在2月份将NPM注册表中排名前100的所有包的维护人员注册为强制2FA,并在3月份将所有NPM账户注册为强化登录验证,500强软件包的所有维护人员将在5月31日加入强制性2FA。高影响力NPM包的维护者,那些有超过500个依赖或每周100万次下载的人,将在今年第三季度加入2FA。

确保开源软件的安全仍然是软件行业迫切关注的问题,特别是在去年的 log4j 漏洞之后。但是,尽管 GitHub 的新政策将减轻一些威胁,但系统性的挑战仍然存在:许多开源软件项目仍然由无报酬的志愿者维护,而缩小资金缺口已被视为整个科技行业的一个主要问题。

 

发表评论

相关文章