GitHub宣布從 3 月 13 日起要求所有貢獻的開發人員啟用雙重認證(2FA)。據該公司稱,這是一項保護軟體開發和供應鏈安全的舉措。
「GitHub 是軟體供應鏈的核心,確保軟體供應鏈的安全性始於開發人員,」GitHub 在其最新部落格中表示。 「我們的2FA 計畫是全平台努力的一部分,旨在透過提高帳戶安全性來保護軟體開發。開發人員的帳戶經常成為社會工程和帳戶接管(ATO) 的目標。保護開源生態系統的開發人員和消費者免受此類攻擊是確保供應鏈安全的第一步,也是最關鍵的一步。」
2FA 要求的實施將是漸進的,該公司表示將首先接觸較小的開發人員和管理員群體。此外,根據 GitHub 的說法,開發人員組的選擇將「基於他們採取的行動或他們貢獻的程式碼」。這將在明年繼續。
那些將被選中的人將透過電子郵件收到通知,並且還將在 GitHub.com 上看到註冊橫幅。通知開始後,開發人員將有 45 天的時間來設定他們的 2FA。根據 GitHub 的說法,在此期間之後將再延長一周,但屆時帳戶存取將受到限制。有了這個,那些將提前通知新安全要求的人被建議盡快修復他們的 2FA。
另一方面,該公司鼓勵將有新要求的貢獻者選擇更安全的 2FA 方法而不是 SMS。
「我們強烈建議盡可能使用安全金鑰和 TOTP,」部落格寫道。 「基於簡訊的2FA 不提供相同程度的保護,NIST 800-63B 不再推薦它。廣泛可用的最強方法是那些支援WebAuthn 安全身份驗證標準的方法。這些方法包括實體安全金鑰,以及支援Windows Hello或Face ID/Touch ID 等技術的個人設備。」
以上是GitHub 將從 3 月 13 日開始對所有貢獻的開發人員實施 2FA 要求的詳細內容。更多資訊請關注PHP中文網其他相關文章!