GitHub宣布从 3 月 13 日起要求所有贡献的开发人员启用双因素身份验证(2FA)。据该公司称,这是一项保护软件开发和供应链安全的举措。
“GitHub 是软件供应链的核心,确保软件供应链的安全始于开发人员,”GitHub 在其最新博客中表示。“我们的 2FA 计划是全平台努力的一部分,旨在通过提高帐户安全性来保护软件开发。开发人员的帐户经常成为社会工程和帐户接管 (ATO) 的目标。保护开源生态系统的开发人员和消费者免受此类攻击是确保供应链安全的第一步,也是最关键的一步。”
2FA 要求的实施将是渐进的,该公司表示将首先接触较小的开发人员和管理员群体。此外,根据 GitHub 的说法,开发人员组的选择将“基于他们采取的行动或他们贡献的代码”。这将在明年继续。
那些将被选中的人将通过电子邮件收到通知,并且还将在 GitHub.com 上看到注册横幅。通知开始后,开发人员将有 45 天的时间来设置他们的 2FA。根据 GitHub 的说法,在此期间之后将再延长一周,但届时帐户访问将受到限制。有了这个,那些将被提前通知新安全要求的人被建议尽快修复他们的 2FA。
另一方面,该公司鼓励将有新要求的贡献者选择更安全的 2FA 方法而不是 SMS。
“我们强烈建议尽可能使用安全密钥和 TOTP,”博客中写道。“基于短信的 2FA 不提供相同级别的保护,NIST 800-63B 不再推荐它。广泛可用的最强方法是那些支持 WebAuthn 安全身份验证标准的方法。这些方法包括物理安全密钥,以及支持 Windows Hello 或 Face ID/Touch ID 等技术的个人设备。”