全国协议5人面授小班,企业级独立开发考核,转业者的IT软件工程师基地 登录/注册 | 如何报名

免费领取试听课程

并获得专业顾问一对一进行选课辅导

课程名称不能为空
姓名不能为空
手机号码不能为空

领取成功

GitHub开启双重验证

行业新闻 汉码未来 | GitHub 双重验证

2022-05-06 09:01:33

为了提高软件供应链的整体安全性,GitHub宣布,在2023年之前,所有使用GitHub平台存储代码并做出贡献的开发人员都需要启动一种或多种形式的双因素身份验证(2FA),否则平台将无法正常使用。

GitHub开启双重验证

为什么要打开2FA验证?

事实上,我们经常遇到的许多安全漏洞并不是来自非常复杂的攻击或零日漏洞,而是经常涉及低成本的攻击,如社会工程、密码泄露等。

据GitHub博客报道,2021年11月,许多npm包被接管,因为未使用2FA的开发者账户被入侵。

此外,许多早期安全研究人员透露,它可以直接访问14%的npm包(或间接访问54%的包)。

还有媒体报道,99.9%的Microsoft账户曾被黑客入侵,2FA没有启用。

MikeHanley表示,防止低成本攻击的最佳方法是采取一些基于密码的基本认证方法。目前,GitHub不仅需要用户名和密码登录,还需要基于电子邮件的设备验证。现在,2FA将是下一道防线。

尽管许多场景已经验证了2FA的有效性,但2FA在整个软件生态系统中的利用率仍然很低。根据Github的内部研究,目前16.5%的开发人员对其账户采取了增强安全措施,仅占六分之一。此外,只有6.44%的npm用户使用2FA。

GitHub想在整个平台上推广2FA!

据protocol报道,Mikehanley透露,双重身份验证的要求将影响Github平台的8300万用户,并提前宣布可以保证开发人员的用户体验。

事实上,今年2月,GitHub在其平台上强制使用2FA的小规模测试体验。当时,GitHub选择的测试组主要是100名流行的JavaScript库的贡献者,他们通过包管理工具NPM分发。因为广泛使用的npm包每周可以下载数百万次,所以它们对恶意软件团伙来说是一个非常有吸引力的目标。在某些情况下,黑客破坏了npm贡献者的账户,并使用它们发布软件更新、安装密码窃取器和加密货币挖掘软件。

同时,GitHub计划在今年5月底将测试范围从100个扩大到500个软件包的贡献者。


以上就是汉码未来给大家分享的文章,希望对小伙伴们有所帮助,想要了解更多GitHub开启双重验证相关内容的小伙伴可以登录汉码未来官网咨询,主打5人小班,全程面授,主打Java开发,web前端开发等课程,有专业的授课老师为你答疑解惑。

    

分享到:



【免责声明】由于政策等各方面情况的不断调整与变化,本网站所提供的信息仅供参考,请以权威部门公布的正式信息为准。本网站在文章内容来源出处标注为其他平台的稿件均为转载稿,免费转载出于非商业性学习目的,版权归原作者所有。如您对内容、版权等问题存在异议请与本站联系,我们会及时进行处理解决。 删除,请联系客服。
为什么选择汉码未来