社区编辑申请
注册/登录
GitHub 要求所有账户开启双因素身份验证! 译文
网络
GitHub 重磅宣布,在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证(2FA),否则将无法正常使用该平台。

GitHub 重磅宣布,在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证(2FA),否则将无法正常使用该平台。

GitHub 在解释时表示,大多数安全漏洞并非来自非常复杂的攻击事件或是零日漏洞,相反,往往是一些低成本的攻击,如社会工程、密码泄露,以及其他为攻击者提供访问受害者账户的攻击。被入侵的帐户可用于窃取私有代码或对代码进行恶意更改,从而影响应用程序用户。这对更广泛的软件生态系统和供应链的下游的影响是巨大的。

GitHub表示,软件供应链的起点是开发者。开发者账户经常会成为社会工程和账户接管的目标,保护开发者免受这些类型的攻击是保护供应链安全的第一步,也是最关键的一步。

据 GitHub 博客报道,2021 年 11 月,由于未启用 2FA 的开发者账户遭到入侵,有不少 npm 包被接管。还有媒体报道,曾被黑客入侵的 Microsoft 账户中,有 99.9% 未启用 2FA。

GitHub表示,防止低成本攻击的最好方法是超越基于密码的身份验证。当前 GitHub 除了要求用户名、密码登录之外,还要求基于电子邮件的设备验证。如今,2FA 将是下一道防线。

虽然有很多场景已经验证了 2FA 的有效性,但是 2FA 在整个软件生态系统中的采用率仍然很低。据 GitHub 内部研究表明,目前有 16.5% 的开发者对自己的账户启用了增强的安全措施,这一占比仅有六分之一。另外,也只有 6.44% 的 npm 用户启用了 2FA。

GitHub 最近在 iOS 和 Android 上为 GitHub Mobile 推出了 2FA。想要配置 GitHub Mobile 2FA 的开发者可以在2022 年 1 月的 GitHub 博客文章中了解如何进行。GitHub希望为安全身份验证和帐户恢复提供更多选项,降低从帐户中泄露信息的安全。

据悉,双重身份验证的要求将影响 GitHub 平台的 8300 万用户,但是GitHub表示,可以 “确保开发人员的用户体验”。

GitHub在 2 月将 NPM 注册表中前 100 个软件包的所有维护者注册到强制 2FA,并在 3 月将所有 NPM 帐户注册到增强登录验证中。

该公司表示,前 500 个软件包的所有维护者将于 5 月 31 日加入强制性 2FA。具有 500 多个受抚养人或每周下载量超过 100 万个的高影响 NPM 软件包的维护者将在今年第三季度加入 2FA。


责任编辑:赵立京 来源: 51CTO
相关推荐

2022-05-16 10:36:08

GitHub开源项目

2022-05-18 23:42:08

网络安全安全分析工具

2022-04-22 14:19:30

苹果开发者社区GitHub

2022-05-06 10:16:11

GitHub双因素身份验证软件开发

2022-04-01 09:00:00

Linux安全SSH

2022-04-18 14:41:40

GitHub开发数据

2022-04-28 09:46:20

Nginx文件Linux

2022-05-17 15:51:32

数据中心运维能力基础设施

2022-03-24 15:24:47

开源软件供应链安全

2022-05-03 22:25:57

Python浏览器语言

2022-04-30 09:09:55

SecureFXSecureCRT

2022-05-16 15:35:00

漏洞黑客

2022-04-28 07:26:17

PythonDocker容器

2022-05-10 06:01:17

Windows 11微软操作系统

2022-05-11 14:48:33

腾讯云寿险民生保险

2022-05-16 13:34:35

漏洞SonicWall攻击者

2022-03-24 09:43:29

二维码二维码修改器github

2022-04-29 08:22:22

数据中心绿色低碳

2022-04-21 10:28:49

支付宝账号

2022-04-11 09:15:44

中间件开源

同话题下的热门内容

新继网红WiFi7 到底有多厉害Meta高性能集群网络架构之路如何应对网络中断的噩梦刚刚!加拿大官宣禁用华为与中兴5G设备,称威胁「国家安全」MQTT QoS 设计:车联网平台消息传输质量保障车联网通信安全之 SSL/TLS 协议秒懂流媒体协议 RTMP 与 RTSP四阶段分层优化,解决5G网络优化挑战

编辑推荐

什么是持续集成?该怎么做?业绩继续高增长 华为企业业务这样的速度还能持续多久?6张动态图轻松学习TCP三次握手和四次挥手区块链分叉是怎么回事儿?终于懂了美国更黑暗的操作才刚刚开始,华为匹夫无罪怀璧其罪如何破局?
我收藏的内容
点赞
收藏

51CTO技术栈公众号