Featured image of post GitHub, milyonlarca kullanıcıya iki faktörlü kimlik doğrulamasını gerçekleştirdi
Enterprise Software Security Software

GitHub, milyonlarca kullanıcıya iki faktörlü kimlik doğrulamasını gerçekleştirdi

Önümüzdeki dokuz ay boyunca, yazılım geliştirme ve işbirliği için en büyük internet barındırma hizmeti, tüm kod katkıda bulunanları hesaplar için başka bir elektronik kanıt katmanı ekleyecek.

A mobile phone is sitting on a computer keyboard. On the screen is an image of the GitHub logo.

Resim: Prima91 GitHub, büyük teknoloji şirketlerinin çoğunluğu tarafından kullanılan, Duyuru açıklandı Bu 2FA’yı yuvarlanıyor. Acknowledging tedarik zinciri güvenlik riskleri, yükselişte olan, şirket Pazartesi günü dokuz aylık bir rollout başlar, 13 Mart Platformda koda katkıda bulunan tüm geliştiriciler sonunda güvenlik protokolünü benimsemeli, şirket Perşembe günü duyurdu.

SEE: Hiring kit: Full stack geliştirici (Teknoloji Premium)

Microsoft’un sahip olduğu DevOps hizmeti, hareket hizalarını ile birlikte söyledi Ulusal Siber Güvenlik Stratejisi Öte yandan, diğer şeyler arasında, onu ve daha fazla güvenlik sorumluluklarını yazılım satıcılar üzerine koyar.

Jump to:

  • Bir geliştirici olmak sizi yenilmez yapmaz
  • Farklı 2FA seçenekleri, ancak biyometrik ve transkeys trump SMS
  • En son hareket, GitHub güvenlik programlarının kadrolarını takip ediyor
  • Ay boyu kesintiyi en aza indirmek, protokolleri optimize etmek
  • GitHub geliştiricileri 2FA zaman çizelgesi sunuyor
  • kilitlemeden kaçınmak için e-posta esnekliği Bir geliştirici olmak sizi yenilmez yapmaz

Geliştiriciler bile yapar hata hataları hataları hataları hataları hataları hata hataları hataları hataları Ve güvenlik ihlallerinin kurbanları olabilir. Mike Hanley, baş güvenlik görevlisi ve üst düzey mühendislik başkan yardımcısı GitHub, Bir Mayıs 2022 blogunda yazdı İlk kez 2FA planından bahsetmiş olan – bu uzlaşma hesapları özel kod çalmak veya bu kodu kötü niyetli değişiklikler zorlamak için kullanılabilir.

Must-read developer kapsama

  • Hiring kit: Python geliştirici

  • Yeni Windows 11 22H2 Güncellemesini nasıl bulabilir ve yüklemek

  • DevGuides online webinars’ın iki yılı ile 39 $ için öğrenin

  • AWS yeniden:Invent 2022: Teknoloji araçlarının, onets ve trendlerin kravatlı turu

    “Bu, sadece risk altındaki hesaplarla ilişkili bireyler ve kuruluşlar değil, aynı zamanda etkilenen kodun herhangi bir kullanıcısı,” diye yazdı. “Daha geniş yazılım ekosistemine ve bir sonuç olarak tedarik zincirine olan potansiyel önemli. ""

Justin Cappos, NYU’daki bilgisayar bilimi profesörü ve in-tototo ve Uptane yazılım güvenlik çerçevelerinin ortak noktası, Gohub’un 2FA’nın benimsenmesinin büyük bir probleme hitap eden kritik bir adım olduğunu söyledi.

“Bir organizasyona kod yazmak, birinin yapabileceği en kötü tür saldırılardan biridir. Bu yüzden insanların kod üzerinde çalıştığını korumak, ki bugün genellikle GitHub aracılığıyla kod üzerinde çalışmak gerçekten önemlidir. Bunu yapmak için saldırganlar için daha zor hale getirdikleri ölçüde, büyük bir olumlu" dedi.

SEE: Güvenlik risklerini nasıl en aza indirmek için: Bu en iyi uygulamaları başarı için takip edin (Teknoloji Premium)

Farklı 2FA seçenekleri, ancak biyometrik ve transkeys trump SMS

GitHub da bir teklif tercih edilen 2FA seçeneği Hesap girişi için bir sudo hızlı, kullanıcıların zaman tabanlı bir şifre, SMS, güvenlik anahtarları veya GitHub Mobile arasında seçim yapmasına izin verin. Ancak, şirkettir. Kullanıcılara Yumarty ve TOTPs gibi fiziksel güvenlik anahtarları da dahil olmak üzere güvenlik anahtarları ile gitmek, bunu yapmamak SMS tabanlı 2FA daha az güvenli .

NIST, hangi Artık tavsiye edilmez 2FA, bunu belirtti:

  • SMS aracılığıyla gönderilen dış bant sırrı, mobil operatörün saldırganın cep telefonunu saldırgana yönlendirmesine ikna eden bir saldırgan tarafından alınabilir.
  • Son noktadaki kötü niyetli bir uygulama SMS ve saldırgan aracılığıyla gönderilen dışsal bir sırrı okuyabiliyor. “En güçlü yöntemler WebAuthn’un güvenli kimlik doğrulama standardına destek verenler.” dedi GitHub. “Bu yöntemler, Windows Merhaba veya Face ID / Ekran ID gibi teknolojileri destekleyen fiziksel güvenlik anahtarlarını da içerir. ""

Cappos, 2FA yöntemlerinin öneminin aşırı devletsiz olamayacağını söyledi. 2FA için, her şey aynı değil. Yumartys, örneğin, altın standarttır çünkü fiziksel olarak bir şeyin gerçekleşmesine neden olan anahtarı çalmanız gerekir,” dedi.

SEE: 1Password şifresiz bir geleceğe bakıyor. İşte bu yüzden (Teknoloji)

GitHub da test ettiğini söyledi passkeys Öte yandan, bir sonraki nesil, phishing gibi sömürülere karşı bir savunma olarak nitelendirdi.

“Çünkü paskeyler hala yeni bir kimlik doğrulama yöntemidir, onları müşterilere gitmeden önce içsel olarak test etmeye çalışıyoruz,” dedi bir sözcüsü. “Güçlü ve felsefi doğrulama ile kullanım kolaylığı birleştireceğine inanıyoruz. ""

En son hareket, GitHub güvenlik programlarının kadrolarını takip ediyor

Tehdit aktörleri ile savaşmak için döngüleri kapatmaya yönelik bir harekette, GitHub onu genişletdi gizli tarama Geçen sonbaharda, geliştiricilerin kamusal GitHub repository’deki herhangi bir halka açık sırları takip etmelerine izin veriyor.

Ve bu yılın başlarında, GitHub kod taraması için bir kurulum seçeneği başlattı Kullanıcıların otomatik olarak kod taramasını sağlayan “default kurulumu” olarak adlandırılır.

“2FA inisiyatifimiz, hesap güvenliğini geliştirerek yazılım geliştirmeyi sağlamak için bir platform çapında çabanın bir parçasıdır,” dedi şirket, geliştirici hesaplarının sosyal mühendislik ve hesap alma hedefleri olmadığını söyledi.

Ay boyu kesintiyi en aza indirmek, protokolleri optimize etmek

Yeni protokolleri yaymak için süreç, aldıkları eylemlere veya katkıda bulundukları koda göre seçilen gruplarla, GitHub’a göre kesintiyi azaltmak anlamına gelir. (Figure A) .

Şekil A

A flowchart illustration of the software supply chain and important security steps.

Resim: GitHub. Yazılım tedarik zincirini temizlemek kullanıcı hesapları ile başlar. Şirket yavaş rollout’un da bu yıl boyunca daha büyük ve daha büyük gruplara ölçeklendirmeden önce gerekli düzenlemeleri yapmak için GitHub için daha kolay olacağını söyledi.

GitHub’ın sözcüsü, şirketin 2FA’daki belirli grupların bir parçası olmanın nasıl uygun olduğuna dair özel teklifler sunmayacağını açıkladı, kişi gruplar belirlenir, kısmen, etkilerine dayanarak, gruplar belirlenir. Daha geniş ekosistem ekosistem ekosistem . High-impact grupları, kullanıcıları içerecektir:

  • GitHub veya OAuth uygulamaları, Actions veya paket paketleri .
  • Oluşturun sürüm sürüm sürüm sürüm .
  • Contributed code to repositories critical by npm , OpenSSF , PyPI veya RubyGems .
  • Contributed code to any of the around top four million public and private repositories.
  • İşletme ve organizasyon yöneticileri olarak hareket edin. Proaktif bir bent ile olanlar için, şirket hemen adanmış 2FA sunuyor site sitesi sitesi sitesi sitesi sitesi sitesi sitesi sitesi sitesi site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site site .

GitHub geliştiricileri 2FA zaman çizelgesi sunuyor

GitHub katkıda bulunanlar için süreç, 2FA’yı yumuşak bir son tarih boyunca başlatmak için birkaç zaman işaretleyicisi oluşturur (Figure B) .

Şekil B

A color-coded timeline from GitHub that details when different groups will be required to meet different 2FA deadlines.

Resim: GitHub. GitHub katkıda bulunanlar için 2FA için zaman çizelgesi. ### Son zamanlardan önce

Beklemek isteyen 2FA grubu için seçilen katılımcılar, son zamanlardan 45 gün önce e-posta yoluyla bildirim alacak ve 2FA’yı nasıl etkinleştireceği konusunda rehberlik edecek.

İzin süresi bittiğinde,

Bu bilgiler, her gün GitHub.com’a eriştikleri ilk kez 2FA’yı etkinleştirecektir. Bunu bir haftaya kadar bir gün kısaltabilirler, ancak bundan sonra, 2FA etkinleştirene kadar GitHub.com özelliklerine erişemeyecekler.

2FA’dan 28 gün sonra etkinleştirilir

Kullanıcılar, 2FA kurulumunun doğru çalıştığını doğrulayan GitHub.com kullanarak 2FA “check-up” alacaklar. Daha önce imzalanmış kullanıcılar, 2FA’yı yanlış yapılandırmış veya yanlış ikinci faktörler veya kurtarma kodlarını onboarding sırasında yeniden yapılandırabilecekler.

kilitlemeden kaçınmak için e-posta esnekliği

Neyse ki, yeni protokoller kullanıcılarına izin verir Bağlantı e-posta 2FA özellikli bir GitHub hesabı, çok şeyden kilitlenme paradoksundan kaçınmak için - e-posta - bu, hesabı imzalamaya veya kurtarmamasına izin verir.

“Bir SSH anahtarını bulamadıysanız, PAT veya daha önce hesabınızı kurtarmak için GitHub’a imzalanmış bir cihaz, yeni bir GitHub.com hesabıyla yeni başlamak ve bu katkı grafiği doğru bir şekilde yeşil tutmak kolay” dedi.

image

 ###  Cybersecurity Insider Newsletter

Organizasyonunuzun BT güvenlik savunmalarını en son siber güvenlik haber, çözümleri ve en iyi uygulamaları tutarak güçlendirin.

Salı ve Perşembe günleri teslim edildi Bugün kaydolun

© 2024 BilbyTech