Github:所有代码贡献者必须双重验证

admin
admin
admin
6962
文章
0
评论
2022年5月6日06:00:55 评论 19,727次
  • 正版软件序列号 激活码
  • QQ扫码添加
  • weinxin
  • 各行各业微信群
  • 微信扫一扫进群
  • weinxin

全球数千万软件开发者使用的代码托管平台GitHub今天宣布,到2023年底,所有向该网站上传代码的用户都需要使用一种或多种形式的双因素认证(2FA),继续使用平台。

GitHub首席安全官(CSO)Mike Hanley周三,这项新政策在一篇博客文章中宣布,强调了微软拥有的平台在保护软件开发过程完整性方面的作用,以应对不良分子接管开发者账户的威胁。

Github:所有代码贡献者必须双重验证

汉利写道:"软件供应链从开发者开始,"。"开发者账户往往成为社会工程和账户接管的目标。保护开发者免受这些类型的攻击是保护供应链安全的第一步和最关键的一步。"

尽管多因素认证为在线账户提供了重要的额外保护,但GitHub内部研究表明,目前只有约定16.5%的活跃用户(约六分之一)在他们的账户上使用安全措施--这个数字令人惊讶的是,该平台的用户群应该意识到只有密码保护的风险。

"软件供应链从开发者开始"

Hanley告诉The Verge,引导这些用户采用更高的最低账户保护标准,GitHub希望能提高整个软件开发社区的整体安全性。

"汉利说:"GitHub在一个独特的位置,仅仅依靠GitHub.com我们可以从安全卫生的角度提高标准,对整个生态系统的安全产生重大积极影响。"我们认为这确实是我们能够在生态系统范围内提供的最佳好处之一。我们致力于确保我们能够通过任何挑战或障碍成功地采用它。

GitHub在较小的平台用户群中建立了强制性使用2FA的先例,在通过软件包管理软件NPM分发的流行JavaScript在图书馆的贡献者中进行了测试。广泛使用NPM这个包每周可以下载数百万次,这对恶意软件团伙来说是一个非常有吸引力的目标。在某些情况下,黑客被摧毁了NPM贡献者的账户,并使用它们发布软件更新,安装密码窃取器和加密货币挖掘机。

"我们认为这确实是我们能够提供的生态系统的最佳好处之一"

作为回应,GitHub从2022年2月开始,最受欢迎的100个NPM软件包的维护人员强制实施双因素认证。该公司计划在5月底前将同样的要求扩展到前500个软件包的贡献者。

Hanley从这个较小的实验中得到的见解将被用来在整个平台上顺利推广2FA的过程。"我认为我们有一个很大的好处,那就是我们现在已经在那里了NPM这样做,"他说。"我们从这次经历中学到了很多。就开发者和创作者社区与我们交谈的反馈而言,我们与他们进行了非常积极的对话,讨论了好的[实践]是什么样子。"

广义上说,这意味着在全站范围内强制使用2FA设置较长的准备时间,并设计一系列入职流程,促使用户在2024年最后期限前使用2FA,汉利说。

确保开源软件的安全仍然是软件行业关注的焦点,尤其是去年log4j然而,尽管GitHub新政策将减少一些威胁,但系统性挑战仍然存在:许多开源软件项目仍然由无报酬的志愿者维护,缩小资本差距被视为整个科技产业的主要问题。

匿名

发表评论

匿名网友 填写信息