- 1关于python中关键词global个nonlocal的详细讲解_python global nonlocal
- 2Java安装配置教程,2023年最新版,全部版本看这一篇就够了!!_java最新版本官网网址
- 3《A Discourse-Aware Attention Model for Abstractive Summarization of Long Documents》论文笔记
- 4面试简历模板免费(精选29篇)_免费得简历模板 csdn
- 5c语言实现数据结构---二叉树_c语言从根走到叶子,每层只能经过一个结点,能得到的最多苹果数是多少?请编码实现。
- 6qt学习:mplayer播放器(视频)+arm如何播放视频实战+c启动播放器
- 7dot net core 使用 IPC 进程通信
- 8Spring/Spring Boot服务端主动推送技术【server send event】简称sse,看完不亏系列_spring 浏览器 推送数据
- 9InternVL_internvl原理
- 10揭秘AI文章检测工具:从瑕疵到真相,一键提升文章品质
本周起,GitHub强制要求活跃开发人员执行2FA机制
赞
踩
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitHub 要求,活跃开发人员自3月13日起在账户上启用双因素认证机制。
一旦扩展到GitHub 的整个用户库,该2FA要求将有助于保护超过1亿用户账户的安全。GitHub 将首先通过邮件通知一小部分管理员和开发人员,并在今年年底加快速度,确保无缝衔接以及用户有时间找到任何问题。
GitHub的部门产品经理 Hirsch Singhal 和产品营销主任 Laura Paine 指出,“GitHub 设计了试用性流程,用来将对用户的异常干扰和生产力损失最小化并阻止账户锁定。随着时间的发展,用户群体将被要求启用2FA机制,每组用户将基于他们所采取的措施或所贡献的代码被挑选。”如果用户账户被选定,则会收到一封邮件并在GitHub.com上看到要求参加2FA计划的横幅。之后,用户有45天的时间在账户上配置2FA机制,同时在此过程中可以照常使用GitHub账户,除了偶尔出现的提醒以外。
GitHub 将持续告知用户最后的启动期限,一旦超过该期限要求,将在访问GitHub.com时被提示要求启用2FA,否则将在访问某些特性时被拦截。
去年5月和12月,GitHub 要求所有在GitHub 上贡献代码的开发人员在2023年年底启用2FA。GitHub 已发布关于在账户上配置2FA以及在丢失2FA凭据的情况下恢复账户的详细指南。
开发人员可使用2FA或更多的2FA选项,如物理安全密钥、构建到智能手机和笔记本中的虚拟安全密钥、TOTP认证应用或GitHub 移动app。尽管在某些地方可选择基于文本信息的2FA,但GitHub 督促用户切换到安全密钥或TOTP应用,因为威胁行动者可绕过SMS 2FA或窃取SMS 2FA验证令牌,劫持开发人员的账户。
保护软件供应链安全
在GitHub账户上启用2FA,将通过拦截使用复用密码或被盗凭据的尝试,增强对账户接管的弹性。
这是GitHub 通过远离基于基本密码认证方式,保护软件供应链的最新举措。此前,GitHub 执行了基于邮件的设备验证并取消了为Git 运营认证设置账户密码。此外,GitHub 还在2020年11月通过REST API禁用密码认证并在2021年5月引入FIDO2安全密钥支持,保护SSH Git运营安全。
多年来,GitHub 已通过集成2FA、登入警报、拦截受陷密码使用和提供WebAuthn支持等方式增强其账户安全。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
美国发布新的国家网络安全战略:软件安全责任转移,重视软件供应链安全
奇安信总裁吴云坤:构建四大关键能力 体系化治理软件供应链安全
原文链接
https://www.securityweek.com/dozens-of-exploited-vulnerabilities-missing-from-cisa-must-patch-list/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
