中关村在线

热点资讯

Github:所有代码贡献者必须双重验证

全球数千万软件开发者使用的代码托管平台GitHub今天宣布,到2023年底,所有向该网站上传代码的用户都需要启用一种或多种形式的双因素认证(2FA),才能继续使用该平台。

GitHub的首席安全官(CSO)Mike Hanley周三在一篇博文中宣布了这项新政策,强调了这个由微软拥有的平台在保护软件开发过程的完整性方面的作用,以应对不良分子接管开发者账户造成的威胁。

汉利写道:"软件供应链从开发者开始,"。"开发者账户经常成为社交工程和账户接管的目标,保护开发者免受这些类型的攻击是保护供应链安全的第一步,也是最关键的一步。"

尽管多因素认证为在线账户提供了重要的额外保护,但GitHub的内部研究显示,目前只有约16.5%的活跃用户(大约六分之一)在他们的账户上启用了增强的安全措施--鉴于该平台的用户群应该意识到仅有密码保护的风险,这个数字低得令人惊讶。

"软件供应链从开发者开始"

Hanley告诉The Verge,通过引导这些用户采用更高的账户保护最低标准,GitHub希望能够提高整个软件开发社区的整体安全性。

"汉利说:"GitHub处于一个独特的位置,仅仅凭借GitHub.com上的绝大多数开源和创作者社区,我们可以通过从安全卫生的角度提高标准,对整个生态系统的安全产生重大积极影响。"我们觉得这确实是我们能够提供的最好的生态系统范围内的好处之一,我们致力于确保我们通过任何挑战或障碍来确保成功采用。

GitHub已经在较小的平台用户群中建立了强制使用2FA的先例,在通过软件包管理软件NPM分发的流行JavaScript库的贡献者中进行了试验。由于广泛使用的NPM包每周可被下载数百万次,它们对恶意软件团伙来说是一个非常有吸引力的目标。在某些情况下,黑客破坏了NPM贡献者的账户,并利用它们发布软件更新,安装密码窃取器和加密货币挖掘机。

"我们觉得这确实是我们能提供的最好的生态系统范围内的好处之一"

作为回应,GitHub从2022年2月起对100个最受欢迎的NPM软件包的维护者强制实行双因素认证。该公司计划在5月底之前将同样的要求扩展到前500个软件包的贡献者。

Hanley说,从这一较小的试验中得到的见解将被用于平稳地在整个平台上推广2FA的过程。"我认为我们有一个很大的好处,那就是我们现在已经在NPM上做了这个,"他说。"我们从这一经验中学到了很多,就我们从与我们交谈过的开发者和创作者社区得到的反馈而言,我们与他们进行了非常积极的对话,讨论好的[做法]是什么样子。"

广义上讲,这意味着为在全站范围内强制使用2FA设定一个较长的准备时间,并设计一系列入职流程,以促使用户在2024年最后期限之前采用2FA,汉利说。

确保开源软件的安全仍然是软件行业迫切关注的问题,特别是在去年的log4j漏洞之后。但是,尽管GitHub的新政策将减轻一些威胁,但系统性的挑战仍然存在:许多开源软件项目仍然由无报酬的志愿者维护,而缩小资金缺口已被视为整个科技行业的一个主要问题。

展开全文
人赞过该文
内容纠错

相关电商优惠

评论

更多评论
还没有人评论~ 快来抢沙发吧~

读过此文的还读过

点击加载更多
说点什么吧~ 0

发评论,赚金豆

收藏 0 分享
首页查报价问答论坛下载手机笔记本游戏硬件数码影音家用电器办公打印 更多

更多频道

频道导航
辅助工具