赞
踩
微信搜索关注公众号:网络研究观 阅读获取更多信息。
GitHub 已公布了针对代码贡献者的双因素身份验证 (2FA) 先决条件的初步结果,该先决条件是作为防范潜在供应链攻击的措施而实施的。
经过一年的广泛研究、设计投入和主要开发人员参与该计划,2023 年安全措施取得了显着进展。
最引人注目的成就是 GitHub.com 平台上 2FA 采用的激增,强调对软件供应链影响最大的用户。证据还表明,高度安全的 2FA 手段(例如密钥)的使用得到加强,可以轻松取代其他形式的 Webauthn 辅助 2FA。
令人惊讶的是,由于广泛的以用户为中心的研究和设计举措以及支持流程的增强,与 2FA 相关的支持请求数量出现了净减少。
RubyGems、PyPI、AWS 等各种组织都加入了 GitHub 来提高安全标准,这突显了这一成功,从而导致整个软件供应链的 2FA 采用率大幅提高。
GitHub 首席安全官对这一回应表示满意,防止下一次网络攻击取决于正确的安全基础知识……保护软件生态系统的努力必须保护设计、构建和维护的开发人员我们都依赖的软件。
需要最强大的多因素身份验证,以防止帐户被盗和随后的供应链泄露。 GitHub 在世界市场上的独特地位使其能够通过其双因素身份验证举措为提高供应链安全做出重大贡献。
GitHub 的强制性 2FA 计划于 2023 年推出,代码贡献者的采用率接近 95%,导致 GitHub.com 上所有活跃贡献者的 2FA 采用率增加了 54%。鼓励用户注册使用密钥,该选项提供了最大的安全性和可用性,是主要的计划重点。
GitHub 的万能钥匙的成功不容低估,到 2024 年初,已有近 140 万个万能钥匙在 GitHub.com 上注册。尽管保持对 SMS 作为可行的 2FA 选项的支持至关重要,但深思熟虑的设计策略鼓励用户在可行的情况下采用更安全的选项。
因此,从 2023 年初到 2024 年初,短信作为第二个因素的总份额下降了近 23%。
注册体验和密钥推出数据的显着改善突显了用户配置两个或多个 2FA 表单的概率几乎为 50%。每个添加的因素都大大降低了用户丢失所有因素并被锁定的可能性,从而带来均匀、可靠的用户体验。
此外,对 2FA 入门工作流程和各种设计增强的大量投资导致 2FA 相关支持请求减少了三分之一。
虽然主要重点是确保 GitHub.com 上的开发人员安全,但 2FA 实施的效果对软件供应链产生了深远的影响,促使其他组织采取类似的措施。
尽管取得了这些成功,GitHub 仍在继续前进,探索如何鼓励更多用户接受 2FA,通过会话和令牌绑定增强用户体验,并推动更安全的身份验证器的采用。
随着 GitHub 继续努力提高安全性,该公司希望更多组织能够效仿。不可用的安全根本就不是安全。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。