GitHub将在2023年底前要求所有用户激活2FA以保护账户安全。此举针对所有用户,特别是活跃开发者,旨在防止供应链攻击,确保代码库安全。平台将逐步推进,评估实施效果并提供45天宽限期。
©网络研究院
GitHub 将要求所有在平台上贡献代码的用户在 2023 年底之前启用双因素身份验证 (2FA) 作为对其帐户的额外保护措施。
双因素身份验证通过在需要输入一次性代码的登录过程中引入额外步骤来提高帐户的安全性。
对于 GitHub 用户来说,账户接管可能会导致引入用于供应链攻击的恶意代码,根据项目的受欢迎程度,这可能会产生深远的影响。
将 2FA 作为所有 GitHub 帐户的强制性措施将使该平台成为一个更安全的空间,用户可以对他们从存储库下载的代码的质量更有信心。
今年早些时候,软件托管和协作平台宣布了一项类似的决定,该决定涉及具有高影响力项目的活跃开发人员,这些项目每周下载量超过 100 万或超过 500 名受抚养人。
如今,2FA 要求已扩展到整个用户群,覆盖约 9400 万用户。
虽然 GitHub 之前已经宣布了这一决定,但它现在已经分享了有关如何实施新措施的更多细节。
GitHub 将从 2023 年 3 月开始在所有 GitHub 帐户上推出强制性 2FA,首先将其推向选定的贡献者群体。
在扩展到更大的组之前,将对功能推出进行评估,测量入职率、帐户锁定和恢复以及支持票数量。
GitHub 表示将使用以下标准来构建更大的群组池:
-
发布 GitHub 或 OAuth 应用程序或包的用户
-
创建发布的用户
-
作为企业和组织管理员的用户
-
向 npm、OpenSSF、PyPI 或 RubyGems 认为关键的存储库贡献代码的用户
-
向大约前 400 万个公共和私人存储库贡献代码的用户
那些通过电子邮件收到启用 2FA 的提前通知的人将有 45 天的时间来完成。
到了截止日期后,用户将开始在 GitHub 上看到启用 2FA 的提示,再持续一周,如果他们不采取行动,他们将被阻止访问 GitHub 功能。
“这个为期一周的休眠期仅在您在截止日期之后登录时才开始,所以如果您正在度假,请不要担心——您不会回来时被 GitHub.com 拒之门外,”该公告澄清说。
启用 2FA 后 28 天,用户将接受强制检查以确认新的安全设置是否按预期工作,同时允许用户重新配置其 2FA 设置并恢复任何丢失的代码。
扫一扫
2675
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
