GitHub也要掃碼或短信驗(yàn)證了，不啟用不能提交代碼，明年底執(zhí)行

夢(mèng)晨 2022-05-06 13:44:25 來(lái)源：量子位

夢(mèng)晨 發(fā)自 凹非寺
量子位 | 公眾號(hào) QbitAI

GitHub現(xiàn)在很焦慮，因?yàn)獒槍?duì)開源軟件的黑客攻擊越來(lái)越多了。

他們統(tǒng)計(jì)了一圈所有賬號(hào)的安全設(shè)置后，發(fā)現(xiàn)了一個(gè)情況：只有16.5%的用戶啟用了雙重身份認(rèn)證功能。

現(xiàn)在GitHub正式宣布：

要求所有代碼貢獻(xiàn)者在2023年底之前啟用雙重身份認(rèn)證。

換句話說(shuō)，要是不啟用這個(gè)功能，以后就不能往GitHub倉(cāng)庫(kù)里提交代碼了。

所謂雙重身份認(rèn)證（Two-Factor Authentication），就是在賬號(hào)密碼以外還額外需要一種方式來(lái)確認(rèn)用戶身份。

國(guó)內(nèi)這種做法已經(jīng)很常見，比如手機(jī)App掃碼，或者接收短信驗(yàn)證碼。

具體到GitHub還支持使用第三方驗(yàn)證工具如1Password或微軟的Microsoft Authenticator。

至于短信驗(yàn)證碼也不是所有手機(jī)號(hào)都能收，比如我們的區(qū)號(hào)+86就不支持……

對(duì)于GitHub的做法，用戶的反應(yīng)也是褒貶不一。

有人認(rèn)為GitHub統(tǒng)計(jì)出來(lái)的數(shù)據(jù)應(yīng)該解釋成，高達(dá)83.5%的用戶不愿意使用雙重身份認(rèn)證。

這樣做是搬起石頭砸自己腳，一旦他們要求這樣做，我就會(huì)換別的平臺(tái)。

也有一部分人是出于隱私方面考慮，不愿意讓GitHub知道自己的手機(jī)號(hào)。

但還是有很多開發(fā)者對(duì)此表示贊同，因?yàn)檐浖?yīng)鏈攻擊可是讓他們吃了不少苦頭。

雙重身份認(rèn)證能防什么攻擊？

根據(jù)安全公司Aqua Security的數(shù)據(jù)，2021年針對(duì)軟件供應(yīng)鏈的攻擊增加了300%以上。

直接向常用的依賴代碼庫(kù)注入惡意代碼、上傳容易混淆的代碼庫(kù)等手段層出不窮

作為最大的開源軟件平臺(tái)，GitHub深受其困。

比較著名的有GitHub服務(wù)器被黑客用來(lái)挖礦。

在這個(gè)例子中，黑客通過(guò)發(fā)起惡意Pull Request，利用GitHub Action的漏洞來(lái)白嫖服務(wù)器資源。

雖然被發(fā)現(xiàn)后GitHub可以封禁違規(guī)賬號(hào)，但黑客們玩起了“游擊戰(zhàn)術(shù)”，不斷更換馬甲號(hào)逃避“追捕”。

挖礦黑客僅用3天就能在GitHub上提交代碼超過(guò)2.33萬(wàn)次，持續(xù)作案很長(zhǎng)時(shí)間也未能根除。

提交代碼時(shí)強(qiáng)制雙重身份認(rèn)證的措施，正可以增加黑客的作惡成本。

除了GitHub平臺(tái)本身，旗下的知名包管理工具npm也常被黑客盯上。

而且據(jù)統(tǒng)計(jì)npm開發(fā)者的安全意識(shí)還要更低，只有6.44%啟用了雙重身份認(rèn)證。

今年3月底，一個(gè)代號(hào)為“RED-LILI”的黑客組織發(fā)起了針對(duì)NPM的大規(guī)模攻擊，投放了超過(guò)800個(gè)惡意代碼包。

北卡羅來(lái)納州立大學(xué)的一項(xiàng)研究表示，很多npm開發(fā)者的郵箱域名都過(guò)期了但還用來(lái)登錄。

沒(méi)有雙重身份認(rèn)證的話，黑客只要把域名買下來(lái)就可以劫持賬戶，在開源項(xiàng)目中注入惡意代碼。

對(duì)此，GitHub已經(jīng)要求npm下載量前一百的開發(fā)者開啟雙重身份認(rèn)證，取得了不錯(cuò)的效果，并打算把這一經(jīng)驗(yàn)用在GitHub上。

盡管雙重身份認(rèn)證確實(shí)能增加安全性，還是有不少開發(fā)者反對(duì)，因?yàn)橛脩趔w驗(yàn)實(shí)在不咋地。

把登錄方式與手機(jī)綁定在一起的話，萬(wàn)一手機(jī)壞了、丟了或者換手機(jī)時(shí)忘記解綁就容易影響開發(fā)工作。

而GitHub把最后期限定到2023年底，也是打算用這段時(shí)間再好好打磨一下。

你的GitHub賬號(hào)開啟雙重身份認(rèn)證了么？哪個(gè)認(rèn)證工具好用歡迎分享一下～

參考鏈接：
[1]https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
[2]https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/
[3]https://github.blog/2022-02-01-top-100-npm-package-maintainers-require-2fa-additional-security/
[4]https://it.slashdot.org/story/22/05/04/2028211/github-will-require-all-code-contributors-to-use-2fa?utm_source=rss1.0mainlinkanon&utm_medium=feed