GitHub 将要求所有在平台上贡献代码的用户使用 2FA 作为其最新安全改进的一部分。
鉴于当下对软件供应链的恶意攻击不断增加,拥有超过 8300 万代码贡献用户的 GitHub 意在通过这一重大政策变更公告加紧保护开发人员和软件供应链。
GitHub 首席安全官 Mike Hanley 在博客中写道:“在 GitHub,我们相信我们作为所有开发人员之家的独特地位赋予了我们提高整个软件开发生态系统安全标准的机会和责任。”。
“虽然我们正在对我们的平台和更广泛的行业进行深入投资以提高软件供应链的整体安全性,但如果我们不解决持续存在的账户泄露风险,那么这项投资的价值就会从根本上受到限制。”
“被入侵的帐户可用于窃取私人代码或对该代码进行恶意更改。这不仅使与受感染帐户相关的个人和组织处于危险之中,而且使受影响代码的任何用户都处于危险之中,”Hanley 解释说。
“因此,安全攻击对更广泛的软件生态系统和供应链的下游影响的潜力是巨大的。”
截止当前,只有大约 16.5% 的活跃 GitHub 用户和 6.44% 的 npm 用户使用一种或多种形式的 2FA。
GitHub 之前为保护开发人员所做的努力包括寻找已知泄露的用户密码并使其失效,提供强大的 WebAuthn 安全密钥支持,以及让所有 npm 发布者参与增强的登录验证。
在今天宣布的政策变更之后,GitHub 将要求所有开发者帐户在 2023 年底之前启用一种或多种形式的 2FA。