GitHub宣布,在2023年之前,所有使用GitHub平台存储代码和做出贡献的开发者都需要启用一种或多种形式的双因素认证(2FA),否则平台将无法正常运行。GitHub解释说,大多数安全漏洞并非来自非常复杂的攻击或零日漏洞,而是来自低成本攻击,例如社会工程、密码泄露和其他为攻击者提供访问受害者帐户的攻击。攻击。受感染的帐户可用于窃取私人代码或对可能影响应用程序用户的代码进行恶意更改。对更广泛的软件生态系统和供应链下游的影响是巨大的。按照GitHub的说法,软件供应链的起点是开发者。开发者账户通常是社交工程和账户接管的目标,保护开发者免受此类攻击是保护供应链的第一步也是最关键的一步。根据GitHub博客,2021年11月,由于未启用2FA的开发者帐户遭到破坏,多个npm包被接管。也有媒体报道称,99.9%被黑的微软账户都没有启用2FA。GitHub表示,防止低成本攻击的最佳方法是超越基于密码的身份验证。除了用户名和密码登录外,GitHub目前还需要基于电子邮件的设备身份验证。今天,2FA将成为下一道防线。虽然有很多场景验证了2FA的有效性,但2FA在整个软件生态中的采用率仍然很低。根据GitHub内部研究,目前有16.5%的开发人员在其帐户上启用了增强的安全措施,而这一比例仅为六分之一。此外,只有6.44%的npm用户启用了2FA。GitHub最近在iOS和Android上为GitHubMobile推出了2FA。想要配置GitHubMobile2FA的开发人员可以在2022年1月的GitHub博客文章中了解如何配置。GitHub希望为安全身份验证和帐户恢复提供更多选项,降低帐户信息泄露的安全性。据悉,双因素身份验证要求将影响GitHub平台的8300万用户,但GitHub表示可以“确保开发者的用户体验”。GitHub在2月将NPM注册表中前100个软件包的所有维护者注册为强制性2FA,并在3月将所有NPM帐户注册为增强登录验证。该公司表示,前500个软件包的所有维护者将于5月31日加入强制性2FA。具有500多个依赖项或每周下载量超过100万次的高影响力NPM包的维护者将在今年第三季度加入2FA。
