今年 2 月,GitHub 宣布 Top-100 npm 包維護者要求啟用 2FA(雙因素身份認證);今年 5 月,GitHub 要求所有貢獻代碼的用戶在2023年底前啟用 2FA;現在,GitHub 將這項要求進一步擴大到 Top-500 npm 包維護者。
在 GitHub 官方博文中寫道:「按照依賴使用熱度,在 npm 庫上對 top-500 包的維護者現強制要求啟動雙因素認證」。本月初,GitHub 表示只有 16.5% 的 GitHub 活躍用戶和 6.44% 的 npm 用戶使用 2FA。坦白說,這樣的用戶比例是偏低的。
GitHub 的首席安全官 Mike Hanley 表示:「被破壞的帳戶可以被用來竊取未公開的私人代碼或對該代碼進行惡意修改。這不僅使與被入侵帳戶相關的個人和組織面臨風險,而且也使受影響代碼的任何用戶面臨風險。因此,對更廣泛的軟體生態系統和供應鏈產生下游影響的可能性是很大的」。
GitHub 在 2021 年 12 月 7 日至 2022 年 1 月 4 日之間首次推出了增強登錄驗證。GitHub 目標將讓所有 npm 發布者加入增強的登錄驗證,在現在擴大到 top-500 npm 包維護者之後,GitHub 的下一步是再擴大到所有依賴超過 500 或者每周下載量超過 100 萬的軟體包。
根據在此初始階段的調查結果,GitHub 計劃在 2022 年 3 月 1 日為所有 npm 帳戶註冊增強登錄驗證。我們將在 2 月 16 日和 2 月 23 日發布之前運行兩個限制日期,我們將在 24 小時內臨時選擇所有帳戶,以確保在我們為所有客戶永久推出此功能時不會出現意外。要了解有關增強登錄驗證的更多信息,您可以訪問我們的文檔。
