发布日期:2022-05-07 22:28 点击次数:179
GitHub 現在很焦慮国产福利萌白酱精品tv一区,因為針對開源軟件的黑客攻擊越來越多了。
他們統計了一圈总计賬號的安全設置后,發現了一個情況:唯有16.5%的用戶啟用了雙重身份認證功能。
現在 GitHub 致密通知:
条款总计代碼貢獻者在 2023 年底之前啟用雙重身份認證。
換句話說,若是不啟用這個功能,以后就不可往 GitHub 倉庫里提移交碼了。
所謂雙重身份認證(Two-Factor Authentication),即是在賬號密碼之外還額外需要一種面貌來確認用戶身份。
國內這種做法已經很常見,比如手機 App 掃碼,大约承袭短信驗證碼。
具體到 GitHub 的做法由于沒有我方的手機客戶端,而是营救使用第三方驗證用具如 1Password 或微軟的 Microsoft Authenticator。
至于短信驗證碼也不是总计手機號都能收,比如我們的區號 +86 就不营救……
對于 GitHub 的做法,用戶的反應亦然褒貶不一。
有人認為 GitHub 統計出來的數據應該解釋成,高達 83.5% 的用戶不肯意使用雙重身份認證。
這樣做是搬起石頭砸我方腳, 男人的天堂av一朝他們条款這樣做,我就會換別的平臺。
也有一部分人是出于隱私方面考慮,不肯意讓 GitHub 澄莹我方的手機號。
但還是有好多開發者對此暗意贊同,因為軟件供應鏈攻擊但是讓他們吃了不少苦頭。
根據安全公司 Aqua Security 的數據,2021 年針對軟件供應鏈的攻擊增多了 300% 以上。
平直向常用的依賴代碼庫注入惡意代碼、上傳容易沾污的代碼庫等时代層出不窮
作為最大的開源軟件平臺,GitHub 深受其困。
比較著明的有。
在這個例子中,人妻中文字系列无码专区黑客通過發起惡意 Pull Request,愚弄 GitHub Action 的破绽來白嫖服務器資源。
雖然被發現后 GitHub 不错封禁違規賬號,但黑客們玩起了游擊戰術,不斷更換馬甲號逃匿追捕。
挖礦黑客僅用 3 天就能在 GitHub 上提移交碼超過 2.33 萬次,持續作案很長時間也未能驱除。
提移交碼時強制雙重身份認證的纪律,正不错增多黑客的作惡本钱。
除了 GitHub 平臺自身,旗下的知名包惩办用具npm也常被黑客盯上。
何况據統計 npm 開發者的安全意識還要更低,唯有 6.44% 啟用了雙重身份認證。
本年 3 月底,一個代號為 RED-LILI 的黑客組織發起了針對 NPM 的大規模攻擊,投放了超過 800 個惡意代碼包。
北卡羅來納州立大學的一項磋商暗意,好多 npm 開發者的郵箱域名都過期了但還用來登錄。
沒有雙重身份認證的話,黑客只消把域名買下來就不错劫持賬戶,在開源項目中注入惡意代碼。
盡管雙重身份認證確實能增多安全性,還是有不少開發者反對,因為用戶體驗實在不咋地。
把登錄面貌與手機綁定在一道的話,萬一手機壞了、丟了大约換手機時忘記解綁就容易影響開發职责。
而 GitHub 把临了期甘休到 2023 年底,亦然推测打算用這段時間再好好打磨一下。
你的 GitHub 賬號開啟雙重身份認證了么?哪個認證用具好用歡迎共享一下~
參考鏈接:
[ 1 ] https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
[ 2 ] https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
[ 3 ] https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/
[ 4 ] https://it.slashdot.org/story/22/05/04/2028211/github-will-require-all-code-contributors-to-use-2fa?utm_source=rss1.0mainlinkanon&utm_medium=feed国产福利萌白酱精品tv一区
上一篇:没有了
Powered by 亚洲人成色777777在线观看 @2013-2022 RSS地图 HTML地图
