سخنگوی این پلتفرم گفت: “2FA خط دفاعی قوی بعدی است.” اندرو هی، مدیر عامل LARES Consulting، این اقدام GitHub را “یک حرکت عالی برای افزایش پیچیدگی کسب حساب” خواند. با این حال، Hey ابراز نگرانی کرد که اگر برخی از مشارکتکنندگان GitHub 2FA را پیادهسازی نکنند، چه اتفاقی میافتد.
هی میگوید: «یکی از تصمیمهای طراحی که ممکن است مشکلاتی ایجاد کند این است که GitHub اعلام کرده است که اعضای سازمان و مالکانی را که از 2FA استفاده نمیکنند، پس از فعال شدن این تنظیمات، از سازمان یا سازمان حذف خواهد کرد.»
Bisson گفت: «تصمیم GitHub برای اعمال حفاظت های قوی تر بر بیش از 70 میلیون کاربر و 100 میلیون مخزن آنها یک حرکت عالی است. به عنوان مثال، اکثر شرکتهایی که اخیراً توسط $Lapsus$ مورد حمله قرار گرفتهاند، سیاستهای احراز هویت قوی 2FA داشتند، اما کد آنها – و تمام کلیدها و رمزهای عبور موجود در آن – هنوز در معرض دید عموم قرار داشت.
طبق گفته GitHub، تنها حدود 16.5 درصد از کاربران فعال در حال حاضر از یک یا چند فرم از 2FA استفاده می کنند. GitHub در حال حاضر فراتر از احراز هویت اولیه مبتنی بر رمز عبور، از جمله لغو احراز هویت اولیه برای عملیات git و API خود و نیاز به احراز هویت دستگاه از طریق ایمیل علاوه بر نام کاربری، کاربر و رمز عبور، رفته است.
ما انتظار نداریم که این مشکل زیادی ایجاد کند، اما اگر کاربر متوجه شود که دیگر نمی تواند به مخازن کدهایی که قبلاً به آنها دسترسی داشته دسترسی داشته باشد، ممکن است منجر به تماس با میز پشتیبانی شرکت شود. کیسی بیسون، مدیر روابط محصول و توسعه دهندگان در BluBracket نیز از حرکت GitHub استقبال کرد، اما متعجب بود که 2FA چقدر در محافظت از کدها عمل می کند.
Source link
تیم تحرریه امنیت سایبری شبکه خبری فناوری اطلاعات و ارتباطات
Github در اطلاعیهای که اوایل امروز به اشتراک گذاشته شد، گفت همه کاربرانی که کد را در سایت آپلود میکنند باید یک یا چند فرم را تا پایان سال 2023 فعال کنند تا به استفاده از این پلت فرم ادامه دهند. این شرکت گفت که این حرکت “بخشی از تلاش های گسترده پلتفرم برای ایمن سازی اکوسیستم نرم افزاری از طریق بهبود امنیت حساب” است.
گیتوی، یک پلتفرم میزبانی کد که توسط دهها میلیون توسعهدهنده نرمافزار در سراسر جهان استفاده میشود، احراز هویت دو مرحلهای اجباری را برای همه شرکتکنندگان کد اعمال میکند.
