GitHub 重磅宣布，在 2023 年之前，所有使用 GitHub 平臺(tái)存儲(chǔ)代碼、做貢獻(xiàn)的開(kāi)發(fā)者都需要啟動(dòng)一種或多種形式的雙因素身份驗(yàn)證（2FA），否則將無(wú)法正常使用該平臺(tái)。

GitHub 在解釋時(shí)表示，大多數(shù)安全漏洞并非來(lái)自非常復(fù)雜的攻擊事件或是零日漏洞，相反，往往是一些低成本的攻擊，如社會(huì)工程、密碼泄露，以及其他為攻擊者提供訪(fǎng)問(wèn)受害者賬戶(hù)的攻擊。被入侵的帳戶(hù)可用于竊取私有代碼或?qū)Υa進(jìn)行惡意更改，從而影響應(yīng)用程序用戶(hù)。這對(duì)更廣泛的軟件生態(tài)系統(tǒng)和供應(yīng)鏈的下游的影響是巨大的。

GitHub表示，軟件供應(yīng)鏈的起點(diǎn)是開(kāi)發(fā)者。開(kāi)發(fā)者賬戶(hù)經(jīng)常會(huì)成為社會(huì)工程和賬戶(hù)接管的目標(biāo)，保護(hù)開(kāi)發(fā)者免受這些類(lèi)型的攻擊是保護(hù)供應(yīng)鏈安全的第一步，也是最關(guān)鍵的一步。

據(jù) GitHub 博客報(bào)道，2021 年 11 月，由于未啟用 2FA 的開(kāi)發(fā)者賬戶(hù)遭到入侵，有不少 npm 包被接管。還有媒體報(bào)道，曾被黑客入侵的 Microsoft 賬戶(hù)中，有 99.9% 未啟用 2FA。

GitHub表示，防止低成本攻擊的最好方法是超越基于密碼的身份驗(yàn)證。當(dāng)前 GitHub 除了要求用戶(hù)名、密碼登錄之外，還要求基于電子郵件的設(shè)備驗(yàn)證。如今，2FA 將是下一道防線(xiàn)。

雖然有很多場(chǎng)景已經(jīng)驗(yàn)證了 2FA 的有效性，但是 2FA 在整個(gè)軟件生態(tài)系統(tǒng)中的采用率仍然很低。據(jù) GitHub 內(nèi)部研究表明，目前有 16.5% 的開(kāi)發(fā)者對(duì)自己的賬戶(hù)啟用了增強(qiáng)的安全措施，這一占比僅有六分之一。另外，也只有 6.44% 的 npm 用戶(hù)啟用了 2FA。

GitHub 最近在 iOS 和 Android 上為 GitHub Mobile 推出了 2FA。想要配置 GitHub Mobile 2FA 的開(kāi)發(fā)者可以在2022 年 1 月的 GitHub 博客文章中了解如何進(jìn)行。GitHub希望為安全身份驗(yàn)證和帳戶(hù)恢復(fù)提供更多選項(xiàng)，降低從帳戶(hù)中泄露信息的安全。

據(jù)悉，雙重身份驗(yàn)證的要求將影響 GitHub 平臺(tái)的 8300 萬(wàn)用戶(hù)，但是GitHub表示，可以 “確保開(kāi)發(fā)人員的用戶(hù)體驗(yàn)”。

GitHub在 2 月將 NPM 注冊(cè)表中前 100 個(gè)軟件包的所有維護(hù)者注冊(cè)到強(qiáng)制 2FA，并在 3 月將所有 NPM 帳戶(hù)注冊(cè)到增強(qiáng)登錄驗(yàn)證中。

該公司表示，前 500 個(gè)軟件包的所有維護(hù)者將于 5 月 31 日加入強(qiáng)制性 2FA。具有 500 多個(gè)受撫養(yǎng)人或每周下載量超過(guò) 100 萬(wàn)個(gè)的高影響 NPM 軟件包的維護(hù)者將在今年第三季度加入 2FA。