來源:CSDN
整理 | 蘇宓
為了提高軟件供應鏈的整體安全性,GitHub 重磅宣布,在 2023 年之前,所有使用 GitHub 平臺存儲代碼、做貢獻的開發者都需要啟動一種或多種形式的雙因素身份驗證(2FA),否則將無法正常使用該平臺。
對此,GitHub 首席安全官(CSO)Mike Hanley 表示,軟件供應鏈的起點是開發者。開發者賬戶經常會成為社會工程和賬戶接管的目標,保護開發者免受這些類型的攻擊是保護供應鏈安全的第一步,也是最關鍵的一步。
為什么要開啟 2FA 驗證?
事實上,我們常遇到的很多安全漏洞并非是來自非常復雜的攻擊事件亦或是零日漏洞,相反,往往是涉及低成本的攻擊,如社會工程、密碼泄露等。
據 GitHub 博客報道,2021 年 11 月,由于未啟用 2FA 的開發者賬戶遭到入侵,有不少 npm 包被接管。
此外,早期也有不少安全研究人員透露,其可以直接訪問 14% 的 npm 包(或者間接訪問 54% 的包)。
還有媒體報道,曾被黑客入侵的 Microsoft 賬戶中,有 99.9% 未啟用 2FA。
Mike Hanley 表示,防止低成本攻擊的最好方法是采取基于密碼的基本認證方法之外的一些措施,當前 GitHub 除了要求用戶名、密碼登錄之外,還要求基于電子郵件的設備驗證。如今,2FA 將是下一道防線。
雖然有很多場景已經驗證了 2FA 的有效性,但 2FA 在整個軟件生態系統中的采用率仍然很低。據 GitHub 內部研究表明,目前有 16.5% 的開發者對自己的賬戶啟用了增強的安全措施,這一占比僅有六分之一。另外,也只有 6.44% 的 npm 用戶啟用了 2FA。
GitHub 欲在整個平臺推動 2FA!
據 protocol 報道,Mike Hanley 透露,雙重身份驗證的要求將影響 GitHub 平臺的 8300 萬用戶,并且此時提前宣布,可以 " 確保開發人員的用戶體驗 "。
同時,GitHub 計劃在今年 5 月底將測試范圍從 100 個擴大 500 個軟件包的貢獻者們。
對此,Hanley 表示,從這一較小的試驗中得到的經驗,也將被用于在整個平臺上推廣 2FA 。" 我認為我們有一個很大的好處,那就是我們現在已經在 NPM 上做了這個。從與我們交談過的開發者、創作者社區中得到的反饋而言,我們從這一經驗中學到了很多,我們也與他們進行了非常積極的對話,討論好的(做法)是什么樣子。"
引發爭議
針對 GitHub 的強制做法,站在平臺的角度來看,雖然有不少開發者表示認同此舉確實能在一定程度上保證賬戶的安全性,但是也有不少人投了反對票:
@網友 1:
并非每個 GitHub 賬戶都是關鍵任務。有些只是為了提交作業而創建的。添加強制性 2FA 是一個額外的負擔,特別是如果微軟決定強制使用手機號碼。
@網友 2:
我不使用 GitHub,但這似乎有點過分了,這是否也適用于私有存儲庫呢?
@網友 3:
換句話說,Github 也想要收集你的電話號碼。他們甚至費心想出一個可愛的理由:在供應鏈攻擊時代提高安全性。
對此,你是否贊同 GitHub 推廣 2FA 的做法?
