GitHub, geliştiriciler ve iki faktörlü kimlik doğrulama (2FA) güvenliği ile ilgili yeni kurallar sunar. Çarşamba günü, Microsoft’a ait kod deposu, “hesap güvenliğini artırarak yazılım ekosistemini güvence altına almak için platform çapında bir çabanın” bir parçası olarak mevcut kimlik doğrulama kurallarında değişiklik yapılacağını söyledi. GitHub Baş Güvenlik Sorumlusu Mike Hanley’e göre, platform, 2023’ün sonuna kadar en azından bir tür 2FA’yı etkinleştirmek için platforma kod katkıda bulunan herhangi bir geliştiriciye ihtiyaç duyacak.
Açık kaynak projeleri, günümüzde bireyler ve işletmeler için değerli kaynaklar olarak ortaya çıkmaktadır. Ancak bunlar hatasız değildir ve ele geçirilirlerse, bazen son derece zararlı olan veri hırsızlığına yol açabilirler. Salesforce’a ait bulut platformu sağlayıcısı Heroku, Nisan ayında bir güvenlik olayı yaşadığını açıkladı. OAuth belirteçlerinin çalınmasının ardından özel git depolarının bir alt kümesinin güvenliği ihlal edildi ve potansiyel olarak müşteri depolarına yetkisiz erişime yol açtı.
GitHub platformunun kontrollerini güçlendirmesine neden olan şey, geliştirici hesaplarının “sosyal mühendislik ve hesap devralma için sık hedefler” olduğuna dikkat çekiyor. Son zamanlarda GitHub’ın npm kayıt defterine yüklenen kötü amaçlı paketler sorunu, yazılım tedarik zinciri güvenliğini de ön plana çıkardı.
Hareketsiz bir güvenliği güçlendirin
Çoğu durumda, açık kaynak projelerinin çökmesine neden olan veya geliştiricilere soğuk ter atmasına neden olan bir sıfır günlük güvenlik açığı değildir. Bunun yerine, siber saldırganların istismar ettiği zayıf parolalar veya bilgi hırsızlığı gibi temel zayıflıklar. Ancak kod deposu, güvenlik ve kullanıcı deneyimi arasında bir ödünleşim olabileceğini de kabul etti. Dolayısıyla 2023 tarihi, organizasyona kurallar kesinleşmeden önce GitHub alanını “optimize etmesi” için zaman tanıyacak.
Taraf, GitHub’dan “Her yerdeki geliştiriciler, güvenli kimlik doğrulama ve hesap kurtarma için daha fazla seçeneğin yanı sıra güvenliği ihlal edilmiş hesapları önlemeye ve kurtarmaya yardımcı olan geliştirmeler bekleyebilir” diyor. Aciliyet, platform için çok gerçek, aktif kullanıcılarının sadece %16,5’i en az bir çift kimlik doğrulama biçimi kullanıyor.
Mike Hanley, “Yazılım tedarik zincirinin genel güvenliğini artırmak için platformumuza ve daha geniş bir sektöre derinden yatırım yapsak da, devam eden güvenliği ihlal edilmiş yazılım hesapları riskini ele almazsak, bu yatırımın değeri temelde sınırlıdır,” dedi. . “Bu zorluğa yanıtımız, bireysel geliştiriciler için güvenli uygulamalar yoluyla tedarik zinciri güvenliğinin iyileştirilmesine yönelik taahhüdümüzle bugün de devam ediyor.”
GitHub’ın geliştiricileri korumak ve yanlışlıkla sırları sızdırmalarını önlemek için Nisan ayında yeni bir analiz özelliği sunduğunu hatırlayın. Kurumsal kullanıcı özelliği, geliştiricilerin iş akışları sırasında ve git push’u başlatmadan önce kullanım için etkinleştirebilecekleri isteğe bağlı bir kontroldür.
Kaynak : ZDNet.com