为了提高应用软件物流配送的整体安全可靠性,GitHub 备受瞩目宣布,在 2023 年之前,大部份采用 GitHub 网络平台储存标识符、做重大贡献的开发相关人员都需要开启一种或形式多样的双不利因素身份校正(2FA),不然将无法正常采用该网络平台。
为此,GitHub 执行官安全可靠官(CSO)Mike Hanley 则表示,应用软件物流配送的终点是开发相关人员。开发相关人员帐户时常会成为社会风气工程建设和帐户接手的目标,为保护开发相关人员免遭这些类别的反击是为保护物流配送安全可靠的第二步,也是最关键性的一步棋。
为什么要迈入 2FA 校正?
实际上,我们常碰到的许多安全可靠安全漏洞绝非是源自比较复杂的反击该事件亦或者端口扫描安全漏洞,恰好相反,常常是牵涉高效率的反击,如社会风气工程建设、公钥外泄等。
据 GitHub 网志报导,2021 年 11 月,由于未投入采用 2FA 的开发相关人员帐户遭侵略,有许多 npm 鞘花接手。
此外,晚期也有许多安全可靠科学研究相关人员透漏,其可以直接出访 14% 的 npm 包(或者间接地出访 54% 的包)。
还有媒体报导,曾被骇客侵略的 Microsoft 帐户中,有 99.9% 未投入采用 2FA。
Mike Hanley 则表示,避免高效率反击的最合适方式是采取如前所述公钥的基本证书方式以外的一些措施,现阶段 GitHub 除了明确要求采用者名、公钥登入以外,还明确要求如前所述邮件的电子设备校正。如今,2FA 将是下一道道阵地。
虽然有许多情景已经校正了 2FA 的有效性,但 2FA 在整座应用软件生态系中的T8100仍然较低。据 GitHub 外部科学研究说明,目前有 16.5% 的开发相关人员对自己的帐户投入采用了进一步增强的安全可靠措施,这一占比仅有五分之一。另外,也只有 6.44% 的 npm 采用者投入采用了 2FA。
GitHub 欲在整座网络平台推动 2FA!
据 protocol 报导,Mike Hanley 透漏,同是校正的明确要求将影响 GitHub 网络平台的 8300 万采用者,并且此时提前宣布,可以“确保开发相关人员的采用者体验”。
其实,在今年 2 月,GitHub 已经对其网络平台上的采用者群体进行了强制采用 2FA 的小范围测试体验。彼时,GitHub 选取的测试群体主要是 100 个通过包管理工具 NPM 分发的流行 JavaScript 库的重大贡献者。由于广泛采用的 npm 包每周可被下载数百万次,它们对恶意应用软件团伙来说是一个非常有吸引力的目标。在某些情况下,骇客破坏了 npm 贡献者的帐户,并利用它们发布应用软件更新,安装公钥窃取器和加密货币挖掘应用软件。
同时,GitHub 计划在今年 5 月底将测试范围从 100 个扩大 500 个应用软件包的重大贡献者们。
为此,Hanley 则表示,从这一较小的试验中得到的经验,也将被用于在整座网络平台上推广 2FA 。”我认为我们有一个很大的好处,那就是我们现在已经在 NPM 上做了这个。从与我们交谈过的开发相关人员、创作者社区中得到的反馈而言,我们从这一经验中学到了许多,我们也与他们进行了非常积极的对话,讨论好的(做法)是什么样子。”
引发争议
针对 GitHub 的强制做法,站在网络平台的角度来看,虽然有许多开发相关人员则表示认同此举确实能在一定程度上保证帐户的安全可靠性,但是也有许多人投了反对票:
@网友 1:
绝非每个 GitHub 帐户都是关键性任务。有些只是为了提交作业而创建的。添加强制性 2FA 是一个额外的负担,特别是如果微软决定强制采用手机号码。
@网友 2:
我不采用 GitHub,但这似乎有点过分了,这是否也适用于私有储存库呢?
@网友 3:
换句话说,Github 也想要收集你的电话号码。他们甚至费心想出一个可爱的理由:在物流配送反击时代提高安全可靠性。
为此,你是否赞同 GitHub 推广 2FA 的做法?
参考:
Software security starts with the developer: Securing developer accounts with 2FA
https://www.protocol.com/bulletins/github-open-source-software-security
https://news.ycombinator.com/item?id=31262597
END
