GitHub, geliştiriciler ve iki faktörlü kimlik doğrulama (2FA) güvenliği ile ilgili yeni kurallar sunar.
Çarşamba günü, Microsoft’a ait kod paylaşım platformu, hesap güvenliğini artırarak yazılım ekosistemini güvence altına alma çabasının bir parçası olarak mevcut kimlik doğrulama kurallarında değişiklik yapılacağını söyledi.
GitHub Güvenlik Başkanı (CSO) Mike Hanley’e göre GitHub, 2023’ün sonuna kadar en az bir tür çok faktörlü kimlik doğrulamayı (2FA) etkinleştirmek için platforma kod katkıda bulunan herhangi bir geliştiriciye ihtiyaç duyacak.
Kimlik doğrulama, sık kullanılan bir hedef
Açık kaynak projeleri, hem bireyler hem de işletmeler için değerli olan popüler ve yaygın olarak kullanılan kaynaklardır. Ancak, kötü niyetli bir aktör bir geliştiricinin hesabını tehlikeye atarsa, bu depoların saldırıya uğramasına, verilerin çalınmasına ve projenin kesintiye uğramasına neden olabilir.
Bulut platformu sağlayıcısı HerokuSalesforce’a ait olan , Nisan ayında bir güvenlik olayı açıkladı. OAuth belirteçlerinin çalınmasının ardından özel git depolarının bir alt kümesinin güvenliği ihlal edildi ve potansiyel olarak müşteri depolarına yetkisiz erişime yol açtı.
GitHub, yazılım tedarik zincirinin “geliştirici ile başladığını” ve bunu akılda tutarak kontrollerini sıkılaştırdığını iddia ediyor. Şirket, geliştirici hesaplarının “sosyal mühendislik saldırıları ve hesap ele geçirme için sık hedefler” olduğuna inanıyor.
Son zamanlarda, yüklenen kötü amaçlı modüller sorunu npm kayıt defteri GitHub’dan da yazılım tedarik zinciri güvenliğini ön plana çıkardı.
Çoğu durumda, açık kaynak projelerinin çökmesine neden olan bir sıfır günlük güvenlik açığı değildir. Bunun yerine, siber saldırganların kullandığı zayıf parola kimlik bilgileri veya çalınan bilgiler gibi temel zayıflıklar.
hassas uzlaşma
Ancak platform, güvenlik ve kullanıcı deneyimi arasında bir ödünleşim olabileceğini de kabul etti. Dolayısıyla 2023 tarihi, organizasyona kurallar kesinleşmeden önce GitHub alanını “optimize etmesi” için zaman tanıyacak.
Hanley, “Her yerdeki geliştiriciler, güvenli kimlik doğrulama ve hesap kurtarma için daha fazla seçeneğin yanı sıra hesap güvenliğinin ihlal edilmesini önlemeye ve bundan kurtarmaya yardımcı olan geliştirmeler bekleyebilirler,” dedi.
GitHub için, 2FA’yı uygulamak, aktif GitHub kullanıcılarının yalnızca %16,5’i ve npm kullanıcılarının %6,44’ünün en azından bir tür 2FA’yı benimsemesiyle acil bir sorun haline gelebilir.
GitHub zaten kullanımdan kaldırıldı temel kimlik doğrulama, OAuth veya erişim belirteçlerini entegre etmek için yalnızca kullanıcı adlarını ve şifreleri kullanarak. Organizasyon ayrıca tanıttı cihaz doğrulama 2FA etkinleştirilmediğinde e-posta ile.
Mevcut plan, ilk 100 paketten ilk 500’e, ardından 500’den fazla bağımlıya veya haftalık bir milyon indirmeye sahip olanlara geçerek npm’de 2FA’nın zorunlu bir sunumunu sürdürmektir. Bu test ortamından öğrenilen dersler daha sonra GitHub’a uygulanacaktır.
Kaynak : ZDNet.com