©网络研究院
GitHub 将要求所有在平台上贡献代码的用户在 2023 年底之前启用双因素身份验证 (2FA) 作为对其帐户的额外保护措施。
双因素身份验证通过在需要输入一次性代码的登录过程中引入额外步骤来提高帐户的安全性。
对于 GitHub 用户来说,账户接管可能会导致引入用于供应链攻击的恶意代码,根据项目的受欢迎程度,这可能会产生深远的影响。
将 2FA 作为所有 GitHub 帐户的强制性措施将使该平台成为一个更安全的空间,用户可以对他们从存储库下载的代码的质量更有信心。
今年早些时候,软件托管和协作平台宣布了一项类似的决定,该决定涉及具有高影响力项目的活跃开发人员,这些项目每周下载量超过 100 万或超过 500 名受抚养人。
如今,2FA 要求已扩展到整个用户群,覆盖约 9400 万用户。
虽然 GitHub 之前已经宣布了这一决定,但它现在已经分享了有关如何实施新措施的更多细节。
GitHub 将从 2023 年 3 月开始在所有 GitHub 帐户上推出强制性 2FA,首先将其推向选定的贡献者群体。
在扩展到更大的组之前,将对功能推出进行评估,测量入职率、帐户锁定和恢复以及支持票数量。
GitHub 表示将使用以下标准来构建更大的群组池:
-
发布 GitHub 或 OAuth 应用程序或包的用户
-
创建发布的用户
-
作为企业和组织管理员的用户
-
向 npm、OpenSSF、PyPI 或 RubyGems 认为关键的存储库贡献代码的用户
-
向大约前 400 万个公共和私人存储库贡献代码的用户
那些通过电子邮件收到启用 2FA 的提前通知的人将有 45 天的时间来完成。
到了截止日期后,用户将开始在 GitHub 上看到启用 2FA 的提示,再持续一周,如果他们不采取行动,他们将被阻止访问 GitHub 功能。
“这个为期一周的休眠期仅在您在截止日期之后登录时才开始,所以如果您正在度假,请不要担心——您不会回来时被 GitHub.com 拒之门外,”该公告澄清说。
启用 2FA 后 28 天,用户将接受强制检查以确认新的安全设置是否按预期工作,同时允许用户重新配置其 2FA 设置并恢复任何丢失的代码。
GitHub 推出对所有公共存储库的免费秘密扫描
GitHub 正在推出对其代码托管平台上所有公共存储库的免费扫描公开秘密(例如凭据和授权令牌)的支持。
秘密扫描是一种安全选项,组织可以启用它以进行额外的存储库扫描,以检测已知类型的秘密的意外暴露。
它通过匹配合作伙伴和服务提供商提供的或组织定义的模式来工作。如果合作伙伴模式触发了匹配,每个匹配项都会在存储库的“安全”选项卡中作为安全警报报告或报告给合作伙伴。
以前,秘密扫描服务仅适用于使用 GitHub Enterprise Cloud 和 GitHub Advanced Security 许可证的组织。
GitHub 扫描存储库以查找 200 多种令牌格式 (包括 API 密钥、身份验证令牌、访问令牌、管理证书、凭据、私钥、秘密密钥等)。
仅今年年初以来,该公司就发布了超过 170 万次关于公共存储库中暴露的潜在机密的警报。
“今天,我们开始免费对 GitHub 社区中的所有免费公共存储库进行秘密扫描,”GitHub 的 Mariam Sulakian 和 Zain Malik 周四表示。
“我们将在今天开始逐步推出对公共存储库进行秘密扫描的公开测试版,并希望所有用户都能在 2023 年 1 月底之前拥有该功能。”
一旦在存储库上启用,GitHub 将自动通知开发人员代码中泄露的秘密,从而使组织能够轻松跟踪警报、识别泄漏源并迅速采取行动,以防止意外盗用提交给公共仓库的任何秘密。
要打开免费公共存储库的秘密扫描警报,您必须完成以下步骤:
-
在 GitHub.com 上,导航到存储库的主页。
-
在您的存储库名称下,单击存储库“设置”按钮。
-
在边栏的“安全”部分,单击“代码安全和分析”。
-
向下滚动到页面底部,然后单击“启用”以进行秘密扫描。如果您看到“禁用”按钮,则表示已为存储库启用秘密扫描。
有关如何在GitHub 的文档网站上为您的存储库启用秘密扫描的详细信息 以及有关秘密扫描功能的更多详细信息,阅读官方文档。
4 月,GitHub 还宣布它为 GitHub Advanced Security 客户扩展了秘密扫描功能,以 自动阻止包含暴露秘密 的提交,并防止在将代码提交到远程仓库之前意外泄露凭据。
暴露的凭据和秘密会导致严重的违规行为。
对于使用 GitHub 的组织和个人来说,启用秘密扫描是一种提高供应链安全性并保护自己免受意外泄露的简单方法。
原文始发于微信公众号(网络研究院):GitHub要求所有用户在2023年底前启用双因素身份验证
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论