到2023年底,GitHub將要求所有在該平台上貢獻代碼的用戶啟用一種或多種形式的雙因素認證(2FA)。今天,這家微軟旗下的公司說,只有16.5%的GitHub活躍用戶和6.44%的npm用戶使用2FA。這不是很多,但坦率地說比想象的要少。
“被破壞的賬戶可以被用來竊取未公開的私人代碼或對該代碼進行惡意修改。這不僅使與被入侵賬戶相關的個人和組織面臨風險,而且也使受影響代碼的任何用戶面臨風險。”GitHub的首席安全官Mike Hanley在今天的公告中寫道:”因此,對更廣泛的軟件生態系統和供應鏈產生下游影響的可能性是很大的。”
他還指出,該公司正在努力確保額外的安全層不會以犧牲用戶體驗為代價。因此,從今天的公告到何時執行這一點的時間很長。”我們2023年底的目標讓我們有機會為此進行優化,”Hanley解釋說。轉換到2FA涉及到在命令行和GitHub網頁界面的用戶體驗的一系列變化。
值得注意的是,今年早些時候,GitHub還為前100名npm軟件包的維護者提供了強制性2FA驗證,以防止軟件供應鏈攻擊。它計劃在本月擴大到前500名軟件包的維護者,然後再擴大到所有依賴性超過500或每周下載量超過100萬的軟件包。