GitHub จะกำหนดให้ผู้ใช้งานทุกคนที่เผยแพร่ code บนแพลตฟอร์ม เปิดการใช้งาน Two-factor authentication (2FA) เป็นมาตรการป้องกันเพิ่มเติมบนบัญชีภายในสิ้นปี 2566

ซึ่ง Two-factor authentication จะช่วยเพิ่มความปลอดภัยให้กับบัญชีผู้ใช้ด้วยการเพิ่มขั้นตอนในกระบวนการเข้าสู่ระบบ

สำหรับผู้ใช้งาน GitHub การถูกเข้าถึงบัญชีผู้ใช้งาน สามารถนำไปสู่การเผยแพร่โค้ดที่เป็นอันตรายสำหรับใช้ในการโจมตีในรูปแบบ supply chain attacks ซึ่งขึ้นอยู่กับความนิยมของแต่ละ project โดยบางกรณีอาจมีผลกระทบในวงกว้างได้

การกำหนดให้มีการเปิดใช้งาน 2FA เป็นมาตรการที่จำเป็นสำหรับบัญชี GitHub ทุกบัญชี โดยจะทำให้แพลตฟอร์ม GitHub เป็นพื้นที่ที่ปลอดภัยมากขึ้น ซึ่งจะทำให้ผู้ใช้งานมั่นใจมากขึ้นเกี่ยวกับความปลอดภัยของโค้ดที่ดาวน์โหลดจากแพลตฟอร์ม

เมื่อต้นปีทีผ่านมา GitHub เคยประกาศถึงการตัดสินใจให้ผู้พัฒนา Project ที่มีผลกระทบสูง และมีการดาวน์โหลดมากกว่าหนึ่งล้านครั้งต่อสัปดาห์ต้องมีการเปิดใช้งาน 2FA

ซึ่งการกำหนดให้มีการเปิด 2FA สำหรับผู้ใช้งานทั้งหมดจะครอบคลุมผู้ใช้ประมาณ 83 ล้านคน

การออกข้อกำหนด 2FA

GitHub จะกำหนดให้มีการเปิด 2FA บนบัญชี GitHub ทุกบัญชีตั้งแต่เดือนมีนาคม 2566 โดยในตอนแรกจะผลักดันให้บัญชีผู้ใช้งานที่อยู่ในกลุ่มผู้เผยแพร่ข้อมูลเริ่มดำเนินการก่อน

หลังจากนั้นจะทำการประเมินผลก่อนที่จะขยายไปสู่กลุ่มผู้ใช้งานที่ใหญ่ขึ้น

GitHub กล่าวว่ากลุ่มของผู้ใช้งานที่จะเริ่มดำเนินการจะถูกแบ่งโดยใช้เกณฑ์ดังต่อไปนี้ :

ผู้ใช้ที่เผยแพร่แอป หรือแพ็กเกจ GitHub หรือ OAuth
ผู้ใช้ที่มีการสร้าง code เวอร์ชันใหม่ ๆ
ผู้ใช้ที่เป็นผู้ดูแลองค์กร และองค์กร
ผู้ใช้ที่ contributed code ไปยัง repositories สำคัญ ๆ เช่น npm, OpenSSF, PyPI, หรือ RubyGems
ผู้ใช้ที่ contributed code ไปยัง repositories สาธารณะ และส่วนตัวประมาณสี่ล้านอันดับแรก

โดยผู้ที่ได้รับแจ้งล่วงหน้าเพื่อเปิดการใช้งาน 2FA ผ่านทางอีเมล จะมีระยะเวลา 45 วันในการดำเนินการ เมื่อครบกำหนดเวลา ผู้ใช้งานจะเริ่มเห็นคำแนะนำในการเปิดใช้งาน 2FA บน GitHub อีก 1 สัปดาห์ และหากยังไม่ดำเนินการ ก็จะถูกบล็อกไม่ให้เข้าถึงฟีเจอร์ของ GitHub ได้

โดย 28 วันหลังจากเปิดใช้งาน 2FA ผู้ใช้งานจะต้องผ่านการตรวจสอบเพื่อยืนยันการตั้งค่าความปลอดภัยใหม่ รวมถึงจะทำให้ผู้ใช้งานสามารถกำหนดการตั้งค่า 2FA ใหม่ และสามารถกู้คืนรหัสที่หายไปได้

ที่มา : bleepingcomputer

GitHub ได้นำเสนอความสามารถใหม่เพื่อช่วยสแกนโทเค็นใน repository สาธารณะและแจ้งเตือน

GitHub ประกาศคุณลักษณะด้านความปลอดภัยใหม่ๆ เมื่อวันอังคารที่ผ่านมา ซึ่งมีจุดมุ่งหมายเพื่อช่วยให้นักพัฒนาซอฟต์แวร์ปลอดภัยจากช่องโหว่ และช่วยให้เก็บข้อมูลที่สำคัญ เช่น โทเค็นการเข้าถึง และ code ที่ไม่เปิดเผยต่อสาธารณะได้ปลอดภัยขึ้น ล่าสุดบริษัทได้ประกาศความสามารถใหม่ที่จะช่วย scan โทเค็น และ credential ใน repository สาธารณะ ที่ใช้สำหรับบริการของ cloud อย่างเช่น AWS, Azure, Google, Slack และ GitHub เอง โดยอาจจะเป็น private key ที่เกี่ยวข้องกับบัญชีผู้ใช้งานของ GitHub ที่ยังไม่ถูกเข้ารหัส ซึ่งเพิ่มเติมมาจากของเดิมที่ช่วย scan เพียงแค่โทเค็นของ GitHub OAuth และโทเค็นส่วนตัวเท่านั้น

การเปิดเผยโทเค็นไว้ในแหล่งข้อมูลสาธารณะนั้นถือว่าเป็นปัญหาใหญ่มาก เนื่องจากผู้ที่ได้ไปนั้นจะสามารถเข้าถึงข้อมูลที่ไม่ต้องการเปิดเผยได้อย่างง่ายดาย ซึ่งประเด็นนี้ถูกหยิบยกมาพูดถึงหลังจากเมื่อเดือนที่แล้ว Facebook พบกับปัญหาด้านความปลอดภัย ที่ส่งผลให้แฮกเกอร์สามารถขโมยโทเค็นสำหรับเข้าถึงบัญชีไปได้อย่างมากมาย นักพัฒนาซอฟต์แวร์ที่ใช้ GitHub อาจเผลอใส่ข้อมูลโทเค็นสำคัญไว้ใน code ที่เปิดเป็นสาธารณะเอาไว้ เมื่อ scan เจอจะมีการแจ้งให้ผู้ให้บริการของโทเค็นรับทราบ เพื่อสร้างโทเค็นใหม่ และแจ้งให้แก่ผู้ใช้งาน

นอกจากนี้ยังมีการประกาศ Security Advisory API ซึ่งจะรวมข้อมูลความปลอดภัยจากแหล่งต่างๆ และช่วยในการอัพเดตให้หากเป็นปัญหาที่เกี่ยวข้อง Project ต่างๆ บนแพลตฟอร์มของ GitHub โดย API จะช่วยให้ผู้ใช้สามารถทำการอัพเดตความปลอดภัยต่างๆ บน Project ของตนเองได้ง่ายขึ้น นอกจากนี้ยังได้เพิ่มเติมการแจ้งช่องโหว่ด้านความปลอดภัยสำหรับภาษา Java และ .NET ซึ่งก่อนหน้านี้รองรับแค่ JavaScript, Ruby และ Python เท่านั้น

ที่มา:cyberscoop