最大代碼托管平臺 GitHub 宣布到 2023 年底所有上傳代碼的用戶都必須使用雙因素認證(2FA)。GitHub 首席安全官(CSO)Mike Hanley 在官方博客上宣布了這一政策，此舉旨在預防開發(fā)者的賬號被劫持，防止攻擊者劫持賬號后上傳惡意代碼對下游項目發(fā)動供應鏈攻擊。

　　Hanley 稱，軟件的供應鏈始于開發(fā)者，開發(fā)者的賬號經(jīng)常成為社交工程和劫持的目標，保護開發(fā)者免受此類攻擊是保護供應鏈安全的第一步也是最重要的一步。GitHub 的內(nèi)部數(shù)據(jù)顯示，只有 16.5% 的活躍用戶啟用了增強保護措施，它希望通過引導開發(fā)者采取更安全的賬號保護標準，提高軟件開發(fā)社區(qū)的整體安全性。

　　GitHub 防黑客升級：碼農(nóng)要在明年年底前啟用雙因素認證

　　“軟件供應鏈始于開發(fā)者。社會工程和帳戶攻擊活動經(jīng)常把開發(fā)者賬戶作為目標，因此保護開發(fā)者免受此類攻擊是確保軟件供應鏈安全性的第一步，也是最關(guān)鍵的一步。”當?shù)貢r間 5 月 4 日，GitHub 首席安全官 Mike Hanley 在博客中公布 GitHub 新政策：在 2023 年底之前，所有在 GitHub.com 上貢獻代碼的用戶都需要啟用至少一種形式的雙因素身份驗證(2FA)。

　　盡管雙因素身份驗證為在線賬戶提供了重要的額外保護，但 GitHub 的內(nèi)部研究表明，目前只有大約 16.5% 的活躍用戶和 6.44% 的 npm 用戶對其帳戶啟用了增強的安全措施。

　　GitHub 是全球數(shù)千萬軟件開發(fā)人員使用的代碼托管平臺。Hanley 寫道，“GitHub 處于獨特的位置，僅憑 GitHub.com 上的絕大多數(shù)開源和創(chuàng)作者社區(qū)，我們就可以通過提高安全標準來對整個生態(tài)系統(tǒng)的安全產(chǎn)生重大的積極影響。”

　　保護開源軟件的安全仍然是軟件行業(yè)迫切關(guān)注的問題，尤其是在去年令企業(yè)和政府競相應對的全球計算機網(wǎng)絡重大安全威脅 log4j 漏洞之后。但是，盡管 GitHub 新政策將緩解一些威脅，但系統(tǒng)性挑戰(zhàn)仍然存在：許多開源軟件項目仍由無償志愿者維護，縮小資金缺口一直被視為整個科技行業(yè)的主要問題。

　　雙因素身份驗證是什么?為什么 GitHub 認為帳戶安全和雙因素身份驗證很重要?　　

雙因素身份驗證概念圖

　　2FA(2 Factor Authentication，雙因素身份驗證)，是指在秘密信息(密碼等)、個人物品(身份證等)、生理特征(指紋/虹膜/人臉等)這三種因素中，同時用兩種因素進行認證。

　　Hanley 寫道，“大多數(shù)安全漏洞并非少見的零日攻擊(Zero-day attacks，充分利用先前無人知曉的漏洞施展攻擊)的產(chǎn)物，而是來源于很多低成本攻擊手段，如社會工程(social engineering)、憑證盜竊(credential theft)或泄漏，以及其他很多為攻擊者提供對受害者帳戶及其所有資源的廣泛訪問權(quán)限途徑。被入侵的帳戶可用于竊取私有代碼，或?qū)阂飧耐扑偷竭@些代碼上。這不僅會將與受感染帳戶相關(guān)的個人和組織置于危險之中，而且會讓所有使用受影響代碼的用戶都暴露在風險環(huán)境下。因此，這種攻擊可能會對更廣泛的軟件生態(tài)系統(tǒng)和供應鏈下游產(chǎn)生巨大的影響。”

　　這就是為什么雙因素身份驗證可以成為保護關(guān)鍵業(yè)務系統(tǒng)的有效機制，因為這意味著如果不良行為者獲得了私人登錄憑據(jù)，但利用它們要困難得多。

　　如果想要更直觀理解，那么可以思考，只用賬戶和密碼進行身份驗證會有什么隱患?

　　在互聯(lián)網(wǎng)中，每天都有大量網(wǎng)站遭到黑客攻擊以致有數(shù)據(jù)外泄，而這些數(shù)據(jù)中就包括用戶的賬號密碼。拿到賬號密碼后，黑客可以用它們嘗試登錄其他網(wǎng)站，即“密碼撞庫”。

　　那么為了防止密碼撞庫，網(wǎng)站就會采取更多手段驗證身份信息，像 GitHub 推出的雙因素身份驗證、登錄警報、設(shè)備認證、防用泄露密碼等。

　　GitHub 透露，2021 年 11 月，一些未啟用 2FA 的開發(fā)者帳戶遭到入侵，導致很多 npm 包(Node Package Manager，簡稱 npm 包管理工具)被入侵者接管，為此 GitHub 承諾在 npm 帳戶安全性方面投入更多資源。

　　GitHub 認為，應對這種攻擊手段的最佳防御措施就是對原有基于密碼的基本身份驗證手段進行升級。“GitHub 已經(jīng)朝這個方向邁出了一步，棄用了針對 git 操作和我們 API 的基本身份驗證，并要求在用戶名和密碼之外添加基于電子郵件的設(shè)備驗證。2FA 是下一道防線。”Hanley 寫道。

　　在接下來的幾個月里，GitHub 將分享更多關(guān)于強制 GitHub.com 用戶升級到 2FA 的詳細信息和時間表。