GitHub将要求所有开发者在2023年底前注册2FA
为了进一步保护托管在其平台上的开发人员帐户和代码,GitHub宣布其用户将需要在明年年底之前注册两因素身份验证(2FA)。更具体地说,任何在Microsoft拥有的平台上贡献代码的人都需要启用一种或多种形式的2FA。
分享您对网络安全的看法,并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备,以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。
根据GitHub首席安全官MikeHanley的一篇新博客文章,软件供应链从开发人员开始,开发人员帐户经常成为社会工程和帐户接管的目标。通过保护开发人员免受此类攻击,该公司正朝着保护软件供应链迈出第一步,也是最关键的一步。
展望未来,GitHub计划探索安全验证用户身份的新方法,包括无密码身份验证。事实上,就在去年,该公司增加了使用安全密钥进行身份验证的能力,作为其迈向无密码未来?努力的一部分。
早在去年11月,GitHub就承诺在npm包接管后对npm帐户安全进行新的投资,这是由于未启用2FA的开发人员帐户受到损害的结果。
尽管零日漏洞在网上引起了广泛关注,但社会工程、凭证盗窃或数据泄露等低成本攻击实际上是造成大多数安全漏洞的原因。
GitHub上的被盗帐户可用于窃取私有代码,甚至可以将恶意更改推送到该代码。不幸的是,不仅与这些被盗帐户相关的个人及其组织面临风险,受影响代码的任何用户也面临风险。
对受损用户帐户的最佳防御是超越基本的基于密码的身份验证。然而,今天只有16.5%的活跃GitHub用户和6.44%的npm用户使用一种或多种形式的2FA。
GitHub用户有足够的时间为这一变化做准备,该公司最近在iOS和Android上为GitHub移动版推出了2FA。有兴趣了解如何配置GitHubMobile2FA的人可以查看此支持文档以开始使用。