夢晨 發自 凹非寺
量子位 | 公衆号 QbitAI
GitHub現在很焦慮,因為針對開源軟體的黑客攻擊越來越多了。
他們統計了一圈所有賬号的安全設定後,發現了一個情況:隻有16.5%的使用者啟用了雙重身份認證功能。
現在GitHub正式宣布:
要求所有代碼貢獻者在2023年底之前啟用雙重身份認證。
換句話說,要是不啟用這個功能,以後就不能往GitHub倉庫裡送出代碼了。
所謂雙重身份認證(Two-Factor Authentication),就是在賬号密碼以外還額外需要一種方式來确認使用者身份。
國内這種做法已經很常見,比如手機App掃碼,或者接收短信驗證碼。
具體到GitHub還支援使用第三方驗證工具如1Password或微軟的Microsoft Authenticator。
至于短信驗證碼也不是所有手機号都能收,比如我們的區号+86就不支援……
對于GitHub的做法,使用者的反應也是褒貶不一。
有人認為GitHub統計出來的資料應該解釋成,高達83.5%的使用者不願意使用雙重身份認證。
這樣做是搬起石頭砸自己腳,一旦他們要求這樣做,我就會換别的平台。
也有一部分人是出于隐私方面考慮,不願意讓GitHub知道自己的手機号。
但還是有很多開發者對此表示贊同,因為軟體供應鍊攻擊可是讓他們吃了不少苦頭。
雙重身份認證能防什麼攻擊?
根據安全公司Aqua Security的資料,2021年針對軟體供應鍊的攻擊增加了300%以上。
直接向常用的依賴代碼庫注入惡意代碼、上傳容易混淆的代碼庫等手段層出不窮
作為最大的開源軟體平台,GitHub深受其困。
比較著名的有GitHub伺服器被黑客用來挖礦。
在這個例子中,黑客通過發起惡意Pull Request,利用GitHub Action的漏洞來白嫖伺服器資源。
雖然被發現後GitHub可以封禁違規賬号,但黑客們玩起了“遊擊戰術”,不斷更換馬甲号逃避“追捕”。
挖礦黑客僅用3天就能在GitHub上送出代碼超過2.33萬次,持續作案很長時間也未能根除。
送出代碼時強制雙重身份認證的措施,正可以增加黑客的作惡成本。
除了GitHub平台本身,旗下的知名包管理工具npm也常被黑客盯上。
而且據統計npm開發者的安全意識還要更低,隻有6.44%啟用了雙重身份認證。
今年3月底,一個代号為“RED-LILI”的黑客組織發起了針對NPM的大規模攻擊,投放了超過800個惡意代碼包。
北卡羅來納州立大學的一項研究表示,很多npm開發者的郵箱域名都過期了但還用來登入。
沒有雙重身份認證的話,黑客隻要把域名買下來就可以劫持賬戶,在開源項目中注入惡意代碼。
對此,GitHub已經要求npm下載下傳量前一百的開發者開啟雙重身份認證,取得了不錯的效果,并打算把這一經驗用在GitHub上。
盡管雙重身份認證确實能增加安全性,還是有不少開發者反對,因為使用者體驗實在不咋地。
把登入方式與手機綁定在一起的話,萬一手機壞了、丢了或者換手機時忘記解綁就容易影響開發工作。
而GitHub把最後期限定到2023年底,也是打算用這段時間再好好打磨一下。
你的GitHub賬号開啟雙重身份認證了麼?哪個認證工具好用歡迎分享一下~
參考連結:[1]https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/[2]https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/[3]https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/[4]https://it.slashdot.org/story/22/05/04/2028211/github-will-require-all-code-contributors-to-use-2fa?utm_source=rss1.0mainlinkanon&utm_medium=feed
![美國移動公司被黑 洩漏3700萬個人資訊[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)