Өз платформасында орналастырылған әзірлеуші тіркелгілері мен кодты одан әрі қауіпсіздендіру үшін GitHub пайдаланушылары келесі жылдың соңына дейін екі факторлы аутентификацияға (2FA) тіркелуі керек екенін жариялады.
Нақтырақ айтқанда, Microsoft корпорациясына тиесілі платформаға код қосатын кез келген адам 2FA бір немесе бірнеше пішінін қосуы керек.
жаңа айтуынша блог пост GitHub-тың бас қауіпсіздік офицері Майк Ханлидің айтуынша, бағдарламалық қамтамасыз етуді жеткізу тізбегі әзірлеушілерден басталады және әзірлеуші тіркелгілері жиі әлеуметтік инженерия мен есептік жазбаны басып алудың нысанасына айналады. Әзірлеушілерді осындай шабуылдардан қорғай отырып, компания бағдарламалық қамтамасыз етуді жеткізу тізбегін қамтамасыз ету жолындағы бірінші және ең маңызды қадамды жасайды.
Алдағы уақытта GitHub өз пайдаланушыларын қауіпсіз аутентификациялаудың жаңа жолдарын, соның ішінде құпия сөзсіз аутентификацияны зерттеуді жоспарлап отыр. Шын мәнінде, өткен жылы компания құпия сөзсіз болашаққа көшу әрекетінің бөлігі ретінде аутентификация үшін қауіпсіздік кілттерін пайдалану мүмкіндігін қосты.
Бағдарламалық қамтамасыз ету тізбегін қамтамасыз ету
Өткен жылдың қараша айында GitHub npm пакетін алудан кейін npm тіркелгісінің қауіпсіздігіне жаңа инвестиция салуға міндеттенді, олар бұзылған 2FA қосылмаған әзірлеуші тіркелгілерінің нәтижесі болды.
Нөлдік күндік осалдықтар желіде көп назар аударғанымен, әлеуметтік инженерия, тіркелгі деректерін ұрлау немесе деректердің ағып кетуі сияқты арзан шабуылдар қауіпсіздікті бұзудың көпшілігіне жауап береді.
GitHub жүйесіндегі бұзылған тіркелгілерді жеке кодты ұрлау немесе тіпті сол кодқа зиянды өзгертулерді енгізу үшін пайдалануға болады. Өкінішке орай, осы бұзылған тіркелгілермен байланысты жеке тұлғалар мен олардың ұйымдары ғана емес, сонымен қатар зардап шеккен кодтың кез келген пайдаланушылары да тәуекелге ұшырайды.
Бұзылған пайдаланушы тіркелгілеріне қарсы ең жақсы қорғаныс негізгі құпия сөзге негізделген аутентификациядан асып түседі. Дегенмен, бүгінгі күні барлық белсенді GitHub пайдаланушыларының тек 16.5 пайызы және npm пайдаланушыларының 6.44 пайызы 2FA бір немесе бірнеше нысандарын пайдаланады.
GitHub пайдаланушыларында бұл өзгеріске дайындалуға көп уақыт бар және компания жақында iOS және Android жүйелерінде GitHub ұялы телефонына арналған 2FA іске қосты. GitHub Mobile 2FA конфигурациялау әдісін үйренгісі келетіндер бастау үшін осы қолдау құжатын тексере алады.