GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации

Материал из Викиновостей, свободного источника новостей
Перейти к навигации Перейти к поиску

16 декабря 2022 года

Логотип настольного GitHub

GitHub анонсировал перевод на обязательную двухфакторную аутентификацию всех пользователей, публикующих код на GitHub.com. На первом этапе в марте 2023 года обязательная двухфакторная аутентификация начнёт применяться для отдельных групп пользователей, постепенно охватывая всё новые и новые категории.

В первую очередь изменение затронет разработчиков, публикующих пакеты, OAuth-приложения и GitHub-обработчики, формирующих релизы, участвующих в разработке проектов, критически важных для экосистем npm, OpenSSF, PyPI и RubyGems, а также вовлечённых в работу над четырьмя миллионами самых популярных репозиториев. До конца 2023 года GitHub намерен полностью запретить для всех пользователей возможность отправки изменений без применения двухфакторной аутентификации. По мере приближения момента перевода на двухфакторную аутентификацию пользователям будут направляться email-уведомления и выводиться предупреждения в интерфейсе.

Новое требование позволит усилить защиту процесса разработки и обезопасить репозитории от внесения вредоносных изменений в результате утечки учётных данных, использования того же пароля на скомпрометированном сайте, взломов локальной системы разработчика или применения методов социального инжиниринга. По мнению GitHub получение злоумышленниками доступа к репозиториям в результате захвата учётных записей является одной из наиболее опасных угроз, так как в случае успешной атаки может быть осуществлена подстановка скрытых изменений в популярные продукты и библиотеки, используемые в качестве зависимостей.

Дополнительно можно отметить начало предоставления всем пользователям публичных репозиториев на GitHub бесплатного сервиса по отслеживанию случайной публикации конфиденциальных данных, таких как ключи шифрования, пароли к СУБД и токены доступа к API. Всего реализовано более 200 шаблонов для выявления различных видов ключей, токенов, сертификатов и учётных данных. Для исключения ложных срабатываний проверяются только гарантированно определяемые типы токенов. До конца января возможность будет доступна только для участников программы бета-тестирования, после чего сервисом смогут воспользоваться все желающие.

Источники[править]

OpenNET logo.png
Creative Commons
Эта статья содержит материалы из статьи «GitHub объявил о внедрении в следующем году всеобщей двухфакторной аутентификации», опубликованной OpenNET и распространяющейся на условиях лицензии Creative Commons Attribution (CC BY) — указание автора, источник и лицензию.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.