全球数以千万计的软件开发人员使用的代码托管平台GitHub,最近稍有些焦虑,因为针对开源软件的各类黑客攻击越来越多了。
现在,GitHub 正式宣布:
所有代码贡献者,在2023年底之前需要启用双重身份认证。
换句话说,如果开发者不启用这个功能,以后就不能往GitHub仓库里提交代码了。
所谓双重身份认证(Two-Factor Authentication),就是在账号密码以外还额外需要一种方式来确认用户身份。
GitHub 表示,此举是“通过提高帐户安全性来保护软件生态,是系统平台范围内努力的一部分”。
上面说过,根据 GitHub统计,只有大约 16.5% 的活跃用户和 6.44% 的 npm(Node.js包管理器)用户使用了一种或多种形式的双重认证。
除了基于密码的基本身份验证之外,GitHub 已经采取了几个措施,包括弃用 Git 操作及其 API 的基本身份验证,除了用户名和密码之外还要求基于电子邮件和设备验证。
GitHub 这样称:“2FA 是强大的下一道防线。”
一些用户将 GitHub 的决定称为“提高帐户接管复杂性的一大举措”。
也有一些人表示担心如果一些 GitHub 贡献者不实施 2FA 会发生什么。
“一个可能导致一些问题的设计决定是,GitHub 表示,一旦启用这些设置,它将从组织或企业中删除不使用 2FA 的企业成员和所有者”。
“我们不认为这会导致很多问题,但如果用户发们无法再访问他们曾经有权访问的代码存储库,它可能会引发GitHub的一些技术支持。”
BluBracket的产品和开发人员关系负责人 Casey Bisson 也对 GitHub 的此项决定表示欢迎,但质疑 2FA 在保护代码方面的成功程度。
“GitHub 对超过 7000 万用户和他们托管的 1 亿存储库实施更强有力的保护的这一举措是一个很好的举措,”Bisson 说。
“例如,最近被 Lapsus$ 攻击的大多数公司也有强大的 2FA 身份验证策略,但仍能看到他们的源代码,包括其中的所有密钥和密码都被公开泄露。“
本文为 @ 场长 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。