GitHub 为代码开发人员和贡献者推出新的 2FA 授权

GitHub 正在引入围绕开发人员和双因素身份验证 (2FA) 安全性的新规则。

周三，微软拥有的代码存储库表示，将对现有身份验证规则进行更改，作为“通过提高帐户安全性来保护软件生态系统的平台范围努力的一部分”。

根据 GitHub 首席安全官 (CSO) 的 Mike Hanley 的说法，GitHub将要求任何向该平台贡献代码的开发人员在 2023 年底之前至少启用一种形式的 2FA。

开源项目是流行和广泛使用的，对个人和企业来说都是宝贵的资源。但是，如果威胁行为者破坏了开发人员的帐户，则可能导致回购劫持、数据盗窃和项目中断。

Salesforce 旗下的云平台提供商Heroku在 4 月份披露了一起安全事件。在 OAuth 令牌被盗后，其私有 git 存储库的一个子集遭到破坏，可能导致未经授权访问客户存储库。

GitHub 表示，软件供应链“从开发人员开始”，并一直在加强控制——并指出开发人员帐户是“社会工程和帐户接管的常见目标”。

近期，恶意包被上传到 GitHub 的npm 注册表的问题也将软件供应链的安全性推到了风口浪尖。

在许多情况下，导致开源项目崩溃或让开发人员不眠之夜的并不是零日漏洞。相反，它是网络攻击者利用的基本弱点——例如弱密码凭证或被盗信息。

但是，代码存储库也承认可以在安全性和用户体验之间进行权衡。因此，2023 年的最后期限也将让组织有时间在规则确定之前“优化” GitHub 域。

“各地的开发人员都可以期待更多的安全身份验证和帐户恢复选项，以及有助于防止帐户泄露和从帐户泄露中恢复的改进，”Hanley 评论道。

对于 GitHub，2FA 的实施可能正在成为一个紧迫的问题，只有 16.5% 的活跃 GitHub 用户和 6.44% 的 npm 用户采用至少一种形式的 2FA。

GitHub 已经弃用基本身份验证，仅使用用户名和密码，转而支持集成 OAuth 或访问令牌。该组织还在未启用 2FA 时 引入了基于电子邮件的设备验证。

目前的计划是在 npm 上继续强制推出 2FA，从前 100 个包移动到 500 个包，然后是那些有超过 500 个依赖项或每周下载量为 100 万的包。然后将从该测试平台中吸取的经验教训应用到 GitHub。

“虽然我们正在对我们的平台和更广泛的行业进行深入投资以提高软件供应链的整体安全性，但如果我们不解决持续存在的账户泄露风险，那么这项投资的价值就会从根本上受到限制，”Hanley 说。“我们对这一挑战的回应今天仍在继续，我们致力于通过为个人开发人员提供安全实践来提高供应链的安全性。”

4 月，GitHub 推出了一项新的扫描功能，以保护开发人员并防止他们意外泄露机密。企业用户功能是开发人员在工作流程期间和启动 git push 之前启用的一项可选检查。