17611538698
webmaster@21cto.com

黑客为所欲为?GitHub 将开启双重身份验证

资讯 0 939 2022-05-09 09:22:33

图片


全球数以千万计的软件开发人员使用的代码托管平台GitHub,最近稍有些焦虑,因为针对开源软件的各类黑客攻击越来越多了。


现在,GitHub 正式宣布:

所有代码贡献者,在2023年底之前需要启用双重身份认证。

换句话说,如果开发者不启用这个功能,以后就不能往GitHub仓库里提交代码了。


所谓双重身份认证(Two-Factor Authentication),就是在账号密码以外还额外需要一种方式来确认用户身份。


GitHub 表示,此举是“通过提高帐户安全性来保护软件生态,是系统平台范围内努力的一部分”。


上面说过,根据 GitHub统计,只有大约 16.5% 的活跃用户和 6.44% 的 npm(Node.js包管理器)用户使用了一种或多种形式的双重认证。


除了基于密码的基本身份验证之外,GitHub 已经采取了几个措施,包括弃用 Git 操作及其 API 的基本身份验证,除了用户名和密码之外还要求基于电子邮件和设备验证。 


GitHub 这样称:“2FA 是强大的下一道防线。”


一些用户将 GitHub 的决定称为“提高帐户接管复杂性的一大举措”。


也有一些人表示担心如果一些 GitHub 贡献者不实施 2FA 会发生什么。 


“一个可能导致一些问题的设计决定是,GitHub 表示,一旦启用这些设置,它将从组织或企业中删除不使用 2FA 的企业成员和所有者”。 


“我们不认为这会导致很多问题,但如果用户发们无法再访问他们曾经有权访问的代码存储库,它可能会引发GitHub的一些技术支持。”


BluBracket的产品和开发人员关系负责人 Casey Bisson 也对 GitHub 的此项决定表示欢迎,但质疑 2FA 在保护代码方面的成功程度。 


“GitHub 对超过 7000 万用户和他们托管的 1 亿存储库实施更强有力的保护的这一举措是一个很好的举措,”Bisson 说。


“例如,最近被 Lapsus$ 攻击的大多数公司也有强大的 2FA 身份验证策略,但仍能看到他们的源代码,包括其中的所有密钥和密码都被公开泄露。“

评论