GitHub反黑客升级:编码员明年底启用双因素认证攻击是确保软件供应链安全的第一步,也是最关键的一步。”当地时间5月4日,GitHub首席安全官MikeHanley在他的博客上宣布了GitHub的新政策:在2023年底之前,所有在GitHub上的用户。在.com上贡献代码的用户都需要至少启用一种形式的双因素身份验证(2FA)。而双因素身份验证GitHub的内部研究表明,目前只有大约16.5%的活跃用户和6.44%的npm用户在他们的账户上启用了增强的安全措施。GitHub是一个代码托管平台,有数十人使用全球数百万软件开发人员。Hanley写道,“GitHub处于独特的地位。仅GitHub.com上就有绝大多数开源和创作者社区,我们可以通过提高安全标准对整个生态系统的安全产生重大的积极影响。”保护开源软件安全仍然是软件行业迫切关注的问题,特别是在log4j漏洞之后,这是去年全球计算机网络面临的一个主要安全威胁,导致企业和政府争先恐后地解决它。但是,虽然GitHub的新政策将减轻一些威胁,但系统性挑战仍然存在:许多开源软件项目仍然由无偿志愿者,缩小资金缺口已被视为整个科技行业的主要问题。什么是双因素身份验证?为什么GitHub认为帐户安全和双因素身份验证很重要?双因素身份验证概念图2FA(2FactorAuthentication,双因素认证),指的是秘密信息(密码等)、个人物品三者之中e因素(身份证等)和生理特征(指纹/虹膜/人脸等),两个因素同时用于身份验证。Hanley写道,“大多数安全漏洞不是罕见的零日攻击(利用以前未知的漏洞)的产物,而是源于各种低成本的攻击媒介,例如社会工程、工程、凭据盗窃(credentialtheft)或泄漏,以及许多其他方式,使攻击者能够广泛访问受害者的帐户及其所有资源。受感染的帐户可用于窃取私人代码,或对这些代码进行恶意更改。这不仅使与受害者相关的个人和组织受感染的帐户处于危险之中,而且还会暴露所有使用受感染代码的用户。因此,此类攻击可能会对更广泛的软件生态系统和下游供应链产生巨大影响。“这就是为什么双因素身份验证可以成为保护关键业务系统的有效机制的原因,因为这意味着如果坏人可以访问私人登录凭据,就很难利用它们。如果你想更直观地理解,大家可以想一想,只使用账号和密码进行身份验证有哪些隐患呢?在互联网上,每天都有大量的网站被黑客入侵,导致数据泄露,而这些数据中就包括用户的账号密码。之后拿到账号密码后,Hackers可以利用它们尝试登录其他网站,即“密码认证”。那么为了防止密码认证,网站会采取更多的手段来验证身份信息,比如GitHub的双因素身份验证、登录警报、设备身份验证、防使用泄露密码等。GitHub透露,在2021年11月,一些未启用2FA的开发者帐户遭到入侵,导致许多npmpackages(NodePackageManager,简称npm包管理工具)被入侵者接管。在npm帐户安全方面投入了更多资源。GitHub认为,对这种攻击方式的最好防御是升级原有的基于密码的基本身份验证方式。”GitHub已经朝这个方向迈出了一步,弃用了git操作和我们的API的基本身份验证,并要求在“除了用户名和密码。2FA是下一道防线。”Hanley写道。在接下来的几个月里,GitHub将分享更多关于GitHub.com用户强制升级到2FA的详细信息和时间表。
