这里有一些既直截了当、仍然需要很长时间但仍然很重要的消息:到 2023 年底,GitHub 将要求所有在平台上贡献代码的用户启用一种或多种形式的双因素身份验证(2FA)。
这就是新闻。这家微软旗下的公司表示,如今只有 16.5% 的活跃 GitHub 用户和 6.44% 的npm 用户使用 2FA。这并不多,而且坦率地说比我预期的要少。
“被入侵的帐户可用于窃取私人代码或对该代码进行恶意更改。这不仅使与受感染帐户相关的个人和组织处于危险之中,而且使受影响代码的任何用户都处于危险之中。因此,对更广泛的软件生态系统和供应链的下游影响的可能性是巨大的,”GitHub 首席安全官 Mike Hanley 在今天的公告中写道。
他还指出,该公司正在努力确保额外的安全层不会以牺牲用户体验为代价。因此,从今天的公告到何时执行该公告之间的时间很长。 “我们的 2023 年底目标使我们有机会为此进行优化,”汉利解释道。切换到 2FA 涉及对命令行和 GitHub Web 界面的用户体验的一些更改
值得注意的是,今年早些时候,GitHub 还将前 100 个 npm 包的维护者注册为强制 2FA,以防止软件供应链攻击。它计划在本月扩展到前 500 个软件包的维护者,然后将其扩展到所有拥有超过 500 个依赖项或每周下载量为 100 万的软件包。