Featured image of post GitHub uruchomił dwuwarunkową autentyczność miliona użytkowników.
Enterprise Software Security Software

GitHub uruchomił dwuwarunkową autentyczność miliona użytkowników.

W ciągu następnych dziewięciu miesięcy największy internetowy serwis hostingowy dla rozwoju oprogramowania i współpraca będzie zawierać inną warstwę dowodów elektronicznych.

A mobile phone is sitting on a computer keyboard. On the screen is an image of the GitHub logo.

W: Prima91 GitHub, używany przez większość firm technicznych. ogłosił W ten sposób skończy 2FA. Firma rozpoczyna dziewięć miesięcy od poniedziałku, 13 marca. Wszyscy deweloperzy, którzy przyczynili się do kodu na platformie, będą musieli przyjąć protokół bezpieczeństwa, firma ogłosiła w czwartek.

SEE Okładka TechRepublic Premium (ang.).

Usługa firmy Microsoft DevOps mówiła, że ruch łączy się z systemem operacyjnym. Strateggia narodowa Wśród innych rzeczy znajduje się onus i odpowiedzialność za dostawcy oprogramowania.

Jump to (ang.).

  • Jako że deweloper nie jest wrażliwy.
  • W odróżnieniu od 2FA, biometry i passkeys gra na trąbce SMS.
  • Latest przejmuje programy bezpieczeństwa GitHub.
  • Months-long rollout w celu zminimalizowania zakłóceń, optymalizacji protokołów.
  • GitHub oferuje programy 2FA timeline.
  • elastyczność emaili pozwala uniknąć blokady. Jako że deweloper nie jest wrażliwy.

Opracowano także programistów. błąd Może stać się ofiarami naruszenia bezpieczeństwa. Mike Hanley, główny oficer bezpieczeństwa i starszy wiceprezes inżynierii w GitHub. Pisał na blogu z maja 2022. Po raz pierwszy wspomniano plan IIFA, który jest uwarunkowany do kradzieży kodu prywatnego lub złośliwe zmiany kodu.

Okładka

  • Okładka

  • Jak znaleźć i instalować nowy system Windows 11 22H2.

  • Dwuletni DevGuides online Webinars za 39 USD.

  • AWS re: Invent 2022 (ang.). Zwarta trasa na narzędzia technologiczne, tenety i trendy.

    “To miejsce nie tylko osób i organizacje związane z kompromisowymi relacjami z ryzykiem, ale także użytkownicy kodu dotkniętego”. Potencjał w kierunku zmniejszenia wpływu na szersze ekosystemy oprogramowania i łańcuch dostaw w rezultacie jest bardzo ważny.”

Justin Cappos, profesor informatyki w NYU i współwyznawca projektów in-to i Uptane, powiedział, że przyjęcie 2FA Github jest pierwszym krokiem w przemówieniu dużego problemu.

Wstęp do organizacji jest jednym z najgorszych ataków na kogoś. W ten sposób ochrona sposobu, w jaki ludzie pracują nad kodem, co dziś często oznacza pracę nad kodem przez GitHub. W takim stopniu, że są one trudniejsze dla napastników, to bardzo pozytywny wynik.

SEE Jak zminimalizować ryzyko bezpieczeństwa? Po tych najlepszych praktykach odnosi się do sukcesów. TechRepublic Premium (ang.).

W odróżnieniu od 2FA, biometry i passkeys gra na trąbce SMS.

GitHub również oferuje GitHub. Preparowany W przypadku login z sudo prompt, pozwalając użytkownikom wybierać między czasowymi jednorazowymi hasłami, SMS, kluczami bezpieczeństwa lub GitHub Mobile. Jednak firma jest firmą. użytkownicy By przejść z kluczami bezpieczeństwa, w tym kluczami fizycznymi, takimi jak Yubikey czy TOTP, zauważając, że klucze bezpieczeństwa są kluczami fizycznymi. SMS 2FA jest mniej bezpieczne. .

NIST, któremu jest. już nie rekomendować 2FA wskazał na to:

  • SMS może zostać odebrany przez napastnika, który przekonał operatora mobilnego do przekierowania telefonem komórkowym ofiary.
  • Zastosowanie złośliwego punktu końcowego może odczytać tajemnicę wysłaną przez SMS, a atakujący może używać sekretu do uwierzytelnia. Najsilniejsze metody szeroko dostępne to te, które obsługują standard uwierzytelnianiania WebAuthn, powiedział w swoim ogłoszeniu GitHub. Metody te obejmują klucze fizyczne oraz urządzenia osobiste, które wspierają technologie takie jak Windows Hello lub Face ID/Touch ID.”

Cappos stwierdził, że znaczenie różnicowania metod 2FA nie może być przestarzałe. Dla 2F nie wszystkie rzeczy są takie same. Na przykład Yubikeys są złotym standardem, ponieważ fizycznie musisz ukraść klucz, aby uwodnić coś, co się stało”.

SEE 1Password wygląda na przyszłość bez hasła. dlaczego (Republika)

GitHub powiedział, że jest to także testy. passkey Protokół następnej generacji jako obrona przeciwko eksploatowaniu takich jak phishing.

“Because passkeys są nadal nowszą metodą uwierzytelniania, pracujemy, aby testować je wewnętrznie, zanim skończymy je dla klientów”. Wierzymy, że są one z łatwością używania silnego i odpornego na fałszerstwo.”

Latest przejmuje programy bezpieczeństwa GitHub.

W drodze do zamknięcia dziur w walce z aktorami, GitHub rozszerzył swoją działalność. skrypt Program trwa, co pozwala programistom śledzić wszelkie publiczne tajemnice w repozytorium GitHub.

Wcześniej w tym roku. GitHub wprowadził opcję zestawu dla skanowania kodu. Nazywany „setupem default” pozwala użytkownikom automatycznie skanowanie kodu.

Inicjatywa „Our 2FA jest częścią wysiłku platformowego mającego na celu zabezpieczenie rozwoju oprogramowania poprzez poprawę bezpieczeństwa konta”, firma powiedziała w wydaniu, zauważając, że rachunki programistyczne to inżynieria społeczna i cele konta.

Months-long rollout w celu zminimalizowania zakłóceń, optymalizacji protokołów.

Proces rozdzielania nowych protokołów ma na celu zminimalizowanie zakłóceń dla użytkowników, z grupami wybranymi w oparciu o działania, które zostały podjęte lub kod, który jest w nim wpłacany, zgodnie z GitHub. (Figure A) (ang.). .

Figura A

A flowchart illustration of the software supply chain and important security steps.

Image: GitHub. Wykorzystywanie łańcucha dostaw zaczyna się od kont użytkowników. Firma stwierdziła, że powolne uruchomienie będzie łatwiejsze dla GitHub, aby przystosować się do potrzebnych przed skalarowaniem do większych i większych grup w tym roku.

Rzecznik GitHub wyjaśnił, że podczas gdy firma nie oferowała konkretnych informacji o tym, jak użytkownicy kwalifikują się do bycia częścią konkretnych grup w kadencjach 2FA, osoba mówiła, że grupy są określone, częściowo na podstawie ich wpływu na bezpieczeństwo organizacji. szeroko ekosystemowy . Wśród grup dużych impactu są użytkownicy, którzy:

  • Wydawnictwo GitHub lub OAuth pakiet .
  • tworzyć release .
  • Konkretny kod do repozytoriów uznany za krytyczny przez krytyczny kod. pn , m, m, m, m. OpenSSF , m, m, m, m. PyPI lub też RubyGems .
  • Konkretowany kod do każdego z czterech milionów repozytoriów publicznych i prywatnych.
  • Działają jako administratorzy przedsiębiorstwa i organizacji. Dla osób posiadających proaktywną ugiętą, przedsiębiorstwo otrzymuje natychmiast 2FA. Strona internetowa .

GitHub oferuje programy 2FA timeline.

Proces pracy GitHub zawiera kilka wskaźników czasu na inicjowanie 2FA wokół miękkiej deadline. (Figure B.) .

Figura B

A color-coded timeline from GitHub that details when different groups will be required to meet different 2FA deadlines.

Image: GitHub. Timeline for 2FA for GitHub (ang.). ### Przed terminem deadline

Zwolennicy GitHub, którzy zostali wybrani do pendingu 2FA, otrzymają powiadomienie przez e-mail 45 dni przed terminem, informując ich o umyśle i oferując wytyczne, jak umożliwić 2FA.

Po ulepszeniu deadline passa

Po raz pierwszy upubliczniono, aby umożliwić 2FA dostęp do GitHub.com każdego dnia. Mogą one przesunąć ten cel raz w ciągu jednego tygodnia, ale po tym, nie będą w stanie uzyskać dostępu do funkcji GitHub.com.

28 dni po II wojnie światowej, po 2 dniach od rozpoczęcia II FA-umożliwa jest dopuszczenie do pełnienia urzędu.

Użytkownicy będą otrzymywać 2FA „check-up” podczas używania GitHub.com, co udowodni, że ich 2FA jest prawidłowo pracujący. Poprzednio podpisane użytkownicy mogą pogodzić 2FA, jeśli nie zostaną skonfigurowane lub niewłaściwie zastąpione kody lub kody odzyskiwania.

elastyczność emaili pozwala uniknąć blokady.

Szczegółowo nowe protokoły umożliwiają użytkownikom korzystanie z usług. e-mail Z 2FA-enabled GitHub wyjaśnia, że należy unikać paradoksu zamknięcia się z bardzo rzeczy – e-mail – co pozwala im zweryfikować tezę, jeśli nie są w stanie jej podpisać.

“Jeśli nie potrafisz znaleźć klucza SSH, PAT, ani urządzenia, które zostały wcześniej podpisane w GitHub w celu odzyskiwania swojego rejestru, łatwo rozpocząć świeże z nowym kontem GitHub.com i utrzymywać, że wkład graficznie zielony,” powiedział firmę.

image

 ###  Cybersecurity Insider Newsletter (ang.).

Strengthen your organization’s IT security defenses by zachować jak najnowsze wiadomości cybersekuracyjne, rozwiązania i najlepsze praktyki.

Wtorek i czwartki znakować

© 2024 BilbyTech