GitHub现在很着急,因为针对开源软件的黑客越来越多。在统计了一圈所有账户的安全设置后,他们发现了一个情况:只有16.5%的用户启用了双因素认证功能。现在GitHub官方宣布要求所有代码贡献者在2023年底前开启双因素认证。换句话说,如果不开启这个功能,以后将无法向GitHub仓库提交代码。所谓双因素认证(Two-FactorAuthentication),是指除了账号密码之外,还需要通过额外的方式来确认用户的身份。这种做法在中国很常见,比如在手机APP上扫码,或者接收短信验证码。具体来说,GitHub还支持使用第三方的身份验证工具,例如微软的1Password或MicrosoftAuthenticator。至于短信验证码,并不是所有的手机号码都能收到。比如我们区号+86就不支持了。。。对于GitHub的做法,用户反应不一。有人认为来自GitHub的统计数据应该被解读为83.5%的用户不愿意使用双因素身份验证。这样做是搬起石头砸自己的脚,一有要求,我就换平台。也有一些人出于隐私考虑,不愿意让GitHub知道自己的手机号。但还是有很多开发者表示赞同,因为软件供应链攻击给他们带来了很大的痛苦。双因素身份验证可以防止哪些攻击?据安全公司AquaSecurity称,2021年针对软件供应链的攻击增加了300%以上。将恶意代码直接注入常用的依赖代码库、上传容易混淆的代码库等方法层出不穷。GitHub作为最大的开源软件平台,深受其害。比较有名的GitHub服务器被黑客用来挖矿。在这个例子中,黑客利用GitHubAction的漏洞,通过发起恶意的PullRequest来释放服务器资源。虽然GitHub被发现后可以封禁非法账号,但黑客们玩起了“游击战术”,不断换装马甲躲避“猎杀”。挖矿黑客能够在短短3天内在GitHub上提交代码超过23300次,并且长期作案不断,未能根除。提交代码时强制双因素认证的措施会增加黑客的作恶成本。除了GitHub平台本身,其知名的包管理工具npm也经常成为黑客的目标。而据统计,npm开发者的安全意识更低,只有6.44%启用了双因素认证。今年3月底,一个代号为“RED-LILI”的黑客组织对NPM发起了大规模攻击,发布了800多个恶意代码包。根据北卡罗来纳州立大学的一项研究,许多npm开发者的邮箱域名已过期,但仍使用它们登录。如果没有双因素身份验证,黑客只需购买域名即可劫持账户并将恶意代码注入开源项目。对此,GitHub已经要求npm下载量前100的开发者开启双因素认证,取得了不错的效果,并打算在GitHub上借鉴这一经验。虽然双因素认证确实可以增加安全性,但是还是有很多开发者反对,因为用户体验真的很差。如果登录方式绑定了手机,万一手机坏了、丢了或者换手机忘记解绑了,很容易影响开发工作。而GitHub已经将deadline定在了2023年底,打算利用这段时间来打磨。
