3月13日起,GitHub要求所有贡献者进行双因素身份验证
来源:分布式实验室
GitHub 将要求,所有在该平台上为任何项目贡献代码的开发者进行双因素身份认证(2FA),此举旨在加强软件供应链安全。
这个由微软拥有的代码托管平台在去年 5 月宣布,它打算在 2023 年底前强制推行 2FA。去年初的时候它已经开始对排名前 100 的软件包启动了该流程,随后在 11 月对其他 “高影响力” 的软件包也启动了该流程。
现在,GitHub 已经确认将于 2023 年 3 月 13 日开始在全平台范围内执行,这一过程将在今年剩余时间内逐步向不同的开发者和项目管理员群体推出。
#01
供应链
拥有约 1 亿开发者用户的 GitHub,是全球软件供应链的关键部分。虽然对软件供应链安全的担忧已经存在了一段时间,但近年来一系列引人注目的攻击事件将这一问题推到了全球政治议程的首位。这包括美国软件公司 SolarWinds 在 2020 年的漏洞,该漏洞影响了大量使用该软件的政府和企业实体,以及流行的开源日志工具 Log4j 中出现的严重 Log4Shell 安全漏洞。
这些严重的安全事件促使拜登政府早在 2021 年就采取了行动,当时发布了一项旨在确保国家网络防御安全的行政命令。上周,政府发布了一项新的网络安全策略,其中包括呼吁大型科技公司承担更多的责任,以确保他们的系统是稳健的,而强制 2FA 将在一定程度上起到正面作用。
在过去几年中,开源软件成为政府网络安全工作的主要焦点,这在很大程度上是由于其无处不在。事实上,绝大多数软件都会包含一些开源组件,而其中许多组件是一两个开发人员在业余时间开发的,几乎没有经济支持。
正是在这种背景下,GitHub 在过去一年中一直在推动 2FA 议程,因为它希望通过社会工程或类似的帐户接管尝试,来减少关键开源项目被不良行为者破坏的可能性。
#02
交错推出
GitHub 采用交错的方式来执行 2FA,是经过深思熟虑的尝试,旨在确保每个需要加入的人都是自愿的并能及时完成。
“这种逐步推出的方式将让我们确保开发者能够成功加入,并在随着时间的推移扩大到更大的群体之前根据需要进行调整。”GitHub 在一篇博文中写道,“GitHub 是软件供应链的核心,而确保软件供应链的安全要从开发者开始”。
在最初的 2FA 注册推动过程中,被锁定的开发者会收到一封电子邮件,他们也会在 GitHub 的仪表盘上看到一个 banner,要求他们注册。然后,他们将有 45 天的时间来激活 2FA,在此期间会有定期的提示。如果在这 45 天内没有配置 2FA,他们将在下次访问 GitHub 账户时被提示启用 2FA,不过他们可以选择再 “延迟" 一周。此后,如果他们想访问 GitHub 账户的任何内容,包括发布代码的能力,他们除了设置 2FA 外没有其他选择。
GitHub 用户可以从短信、物理安全密钥、第三方认证器应用程序和 GitHub 移动应用程序中选择他们的 2FA 机制,而 GitHub 建议开发者应该激活多个 2FA 方法作为故障安全措施。
GitHub 2FA 在运行中。图片来源:GitHub
值得注意的是,2FA 的推广不会随着最初的注册而结束。那些已经设置了 2FA 的用户将在 28 天后收到另一个提示,要求他们验证他们的 2FA 方法,这是为了防止开发者由于配置错误的认证器应用程序,或输入错误的手机号码而锁定他们的账户。在这个阶段,如果用户无法验证他们的账户,他们将被要求重置他们的 2FA 方法,而不会失去对其账户的访问权限。
关于哪些开发者会从 3 月 13 日开始收到 2FA 提示,GitHub 之前已经说过,它将考虑各种数据点,比如发布频率、是否是企业的管理员以及是否为更受欢迎的公共和私人仓库做贡献。
在这次初步推广之后,GitHub 表示,它将把积累的经验教训应用到 2023 年的更广泛的推广中。
------
我们创建了一个高质量的技术交流群,与优秀的人在一起,自己也会优秀起来,赶紧点击加群,享受一起成长的快乐。另外,如果你最近想跳槽的话,年前我花了2周时间收集了一波大厂面经,节后准备跳槽的可以点击这里领取!
推荐阅读
··································
你好,我是程序猿DD,10年开发老司机、阿里云MVP、腾讯云TVP、出过书创过业、国企4年互联网6年。从普通开发到架构师、再到合伙人。一路过来,给我最深的感受就是一定要不断学习并关注前沿。只要你能坚持下来,多思考、少抱怨、勤动手,就很容易实现弯道超车!所以,不要问我现在干什么是否来得及。如果你看好一个事情,一定是坚持了才能看到希望,而不是看到希望才去坚持。相信我,只要坚持下来,你一定比现在更好!如果你还没什么方向,可以先关注我,这里会经常分享一些前沿资讯,帮你积累弯道超车的资本。
腾讯云开发者
