GitHub 將從 2 月 13 日開始對所有貢獻的開發人員實施 XNUMXFA 要求

GitHub上 宣布它將要求所有貢獻的開發人員啟用 雙因素認證 (2FA) 從 13 月 XNUMX 日開始。據該公司稱，這是一項確保軟件開發和供應鏈安全的舉措。

“GitHub 是軟件供應鏈的核心，保護軟件供應鏈的安全始於開發人員，”GitHub 在其最新 博客. “我們的 2FA 計劃是全平台努力的一部分，旨在通過提高帳戶安全性來保護軟件開發。 開發人員的帳戶經常成為社會工程和帳戶接管 (ATO) 的目標。 保護開源生態系統的開發人員和消費者免受此類攻擊是確保供應鏈安全的第一步，也是最關鍵的一步。”

2FA 要求的實施將是漸進的，該公司表示將首先接觸較小的開發人員和管理員群體。 此外，根據 GitHub 的說法，開發人員組的選擇將“基於他們採取的行動或他們貢獻的代碼”。 這將在明年繼續。 

那些將被選中的人將通過電子郵件收到通知，並且還將在 GitHub.com 上看到註冊橫幅。 通知開始後，開發人員將有 45 天的時間來設置他們的 2FA。 根據 GitHub 的說法，在此期間之後將再延長一周，但屆時帳戶訪問將受到限制。 有了這個，那些將被提前通知新安全要求的人被建議盡快修復他們的 2FA。

另一方面，該公司鼓勵將有新要求的貢獻者選擇更安全的 2FA 方法而不是 SMS。

“我們強烈建議盡可能使用安全密鑰和 TOTP，”博客中寫道。 “基於短信的 2FA 不提供相同級別的保護，NIST 800-63B 不再推薦它。 廣泛可用的最強方法是那些支持 WebAuthn 安全身份驗證標準的方法。 這些方法包括物理安全密鑰，以及支持 Windows Hello 或 Face ID/Touch ID 等技術的個人設備。”