მის პლატფორმაზე განთავსებული დეველოპერის ანგარიშებისა და კოდის შემდგომი დაცვის მიზნით, GitHub-მა გამოაცხადა, რომ მის მომხმარებლებს მოუწევთ დარეგისტრირდნენ ორფაქტორიანი ავთენტიფიკაციაში (2FA) მომავალი წლის ბოლომდე.
უფრო კონკრეტულად, ყველას, ვინც წვლილს შეიტანს კოდის Microsoft-ის საკუთრებაში არსებულ პლატფორმაზე, უნდა ჩართოს 2FA-ს ერთი ან მეტი ფორმა.
ახალი ვერსიის მიხედვით დღიურში შეტყობინება GitHub-ის უსაფრთხოების მთავარი ოფიცრის, მაიკ ჰენლისგან, პროგრამული უზრუნველყოფის მიწოდების ჯაჭვი იწყება დეველოპერებით და დეველოპერების ანგარიშები ხშირად მიზნად ისახავს სოციალური ინჟინერიისა და ანგარიშის აღებას. დეველოპერების ამ ტიპის თავდასხმებისგან დაცვით, კომპანია დგამს პირველ და ყველაზე კრიტიკულ ნაბიჯს პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის დასაცავად.
მომავალში, GitHub გეგმავს შეისწავლოს თავისი მომხმარებლების უსაფრთხო ავთენტიფიკაციის ახალი გზები, მათ შორის პაროლის გარეშე ავთენტიფიკაცია. სინამდვილეში, გასულ წელს, კომპანიამ დაამატა უსაფრთხოების გასაღებების ავთენტიფიკაციისთვის გამოყენების შესაძლებლობა, როგორც მისი მცდელობის ნაწილი, რათა გადავიდეს პაროლის გარეშე მომავლისკენ.
პროგრამული უზრუნველყოფის მიწოდების ჯაჭვის უზრუნველყოფა
ჯერ კიდევ გასული წლის ნოემბერში, GitHub ვალდებულია განახორციელოს ახალი ინვესტიციები npm ანგარიშის უსაფრთხოებაში npm პაკეტის აღების შემდეგ, რაც იყო დეველოპერების ანგარიშების შედეგი 2FA ჩართულის გარეშე, რომელიც კომპრომეტირებული იყო.
მიუხედავად იმისა, რომ ნულოვანი დღის დაუცველობა დიდ ყურადღებას იპყრობს ინტერნეტში, იაფფასიანი შეტევები, როგორიცაა სოციალური ინჟინერია, რწმუნებათა სიგელების ქურდობა ან მონაცემთა გაჟონვა, რეალურად პასუხისმგებელია უსაფრთხოების დარღვევის უმეტესობაზე.
GitHub-ზე კომპრომეტირებული ანგარიშები შეიძლება გამოყენებულ იქნას პირადი კოდის მოსაპარად ან თუნდაც ამ კოდში მავნე ცვლილებების გამოსაყენებლად. სამწუხაროდ, რისკის ქვეშ არიან არა მხოლოდ პირები და მათი ორგანიზაციები, რომლებიც დაკავშირებულია ამ კომპრომეტირებულ ანგარიშებთან, არამედ დაზარალებული კოდის ყველა მომხმარებელიც.
საუკეთესო დაცვა კომპრომეტირებული მომხმარებლის ანგარიშებისგან არის პაროლზე დაფუძნებული ავთენტიფიკაციის მიღმა. თუმცა, დღეს GitHub-ის ყველა აქტიური მომხმარებლის მხოლოდ 16.5 პროცენტი და npm მომხმარებელთა 6.44 პროცენტი იყენებს 2FA-ს ერთ ან მეტ ფორმას.
GitHub-ის მომხმარებლებს ბევრი დრო აქვთ ამ ცვლილებისთვის მოსამზადებლად და კომპანიამ ახლახან გამოუშვა 2FA GitHub მობილურისთვის iOS და Android-ზე. მათ, ვინც დაინტერესებულია GitHub Mobile 2FA-ის კონფიგურაციის სწავლით, დასაწყებად შეუძლიათ შეამოწმონ ეს მხარდაჭერის დოკუმენტი.