本文經AI新媒體量子位（公眾號ID:QbitAI）授權轉載，轉載請聯(lián)系出處。

GitHub現在很焦慮，因為針對開源軟件的黑客攻擊越來越多了。

他們統(tǒng)計了一圈所有賬號的安全設置后，發(fā)現了一個情況：只有16.5%的用戶啟用了雙重身份認證功能。

現在GitHub正式宣布：

要求所有代碼貢獻者在2023年底之前啟用雙重身份認證。

換句話說，要是不啟用這個功能，以后就不能往GitHub倉庫里提交代碼了。

所謂雙重身份認證（Two-Factor Authentication），就是在賬號密碼以外還額外需要一種方式來確認用戶身份。

國內這種做法已經很常見，比如手機App掃碼，或者接收短信驗證碼。

具體到GitHub還支持使用第三方驗證工具如1Password或微軟的Microsoft Authenticator。

至于短信驗證碼也不是所有手機號都能收，比如我們的區(qū)號+86就不支持……

對于GitHub的做法，用戶的反應也是褒貶不一。

有人認為GitHub統(tǒng)計出來的數據應該解釋成，高達83.5%的用戶不愿意使用雙重身份認證。

這樣做是搬起石頭砸自己腳，一旦他們要求這樣做，我就會換別的平臺。

也有一部分人是出于隱私方面考慮，不愿意讓GitHub知道自己的手機號。

但還是有很多開發(fā)者對此表示贊同，因為軟件供應鏈攻擊可是讓他們吃了不少苦頭。

雙重身份認證能防什么攻擊？

根據安全公司Aqua Security的數據，2021年針對軟件供應鏈的攻擊增加了300%以上。

直接向常用的依賴代碼庫注入惡意代碼、上傳容易混淆的代碼庫等手段層出不窮

作為最大的開源軟件平臺，GitHub深受其困。

比較著名的有??GitHub服務器被黑客用來挖礦??。

在這個例子中，黑客通過發(fā)起惡意Pull Request，利用GitHub Action的漏洞來白嫖服務器資源。

雖然被發(fā)現后GitHub可以封禁違規(guī)賬號，但黑客們玩起了“游擊戰(zhàn)術”，不斷更換馬甲號逃避“追捕”。

挖礦黑客僅用3天就能在GitHub上提交代碼超過2.33萬次，持續(xù)作案很長時間也未能根除。

提交代碼時強制雙重身份認證的措施，正可以增加黑客的作惡成本。

除了GitHub平臺本身，旗下的知名包管理工具npm也常被黑客盯上。

而且據統(tǒng)計npm開發(fā)者的安全意識還要更低，只有6.44%啟用了雙重身份認證。

今年3月底，一個代號為“RED-LILI”的黑客組織發(fā)起了針對NPM的大規(guī)模攻擊，投放了超過800個惡意代碼包。

北卡羅來納州立大學的一項研究表示，很多npm開發(fā)者的郵箱域名都過期了但還用來登錄。

沒有雙重身份認證的話，黑客只要把域名買下來就可以劫持賬戶，在開源項目中注入惡意代碼。

對此，GitHub已經要求npm下載量前一百的開發(fā)者開啟雙重身份認證，取得了不錯的效果，并打算把這一經驗用在GitHub上。

盡管雙重身份認證確實能增加安全性，還是有不少開發(fā)者反對，因為用戶體驗實在不咋地。

把登錄方式與手機綁定在一起的話，萬一手機壞了、丟了或者換手機時忘記解綁就容易影響開發(fā)工作。

而GitHub把最后期限定到2023年底，也是打算用這段時間再好好打磨一下。