Hier sind einige Neuigkeiten, die sowohl einfach als auch noch lange hin sind, aber dennoch wichtig sind: Bis Ende 2023 wird GitHub von allen Benutzern, die Code auf der Plattform beitragen, verlangen, eine oder mehrere Formen von zu aktivieren Zwei-Faktor-Authentifizierung (2FA).
Und das ist so ziemlich alles für die Nachrichten. Heute, so das zu Microsoft gehörende Unternehmen, seien nur noch 16,5 Prozent der aktiven GitHub-Nutzer und 6,44 Prozent davon npm-Benutzer 2FA verwenden. Das ist nicht viel und ehrlich gesagt weniger als ich erwartet hätte.
„Kompromittierte Konten können verwendet werden, um privaten Code zu stehlen oder böswillige Änderungen an diesem Code vorzunehmen. Dadurch werden nicht nur die mit den kompromittierten Konten verbundenen Personen und Organisationen gefährdet, sondern auch alle Benutzer des betroffenen Codes. Das Potenzial für nachgelagerte Auswirkungen auf das breitere Software-Ökosystem und die Lieferkette ist daher erheblich“, schreibt Mike Hanley, Chief Security Officer von GitHub, in der heutigen Ankündigung.
Er merkt auch an, dass das Unternehmen versucht sicherzustellen, dass die zusätzliche Sicherheitsebene nicht zu Lasten der Benutzererfahrung geht. Daher die lange Zeit zwischen der heutigen Ankündigung und der Durchsetzung. „Unser Ziel für Ende 2023 gibt uns die Möglichkeit, dies zu optimieren“, erklärt Hanley. Der Wechsel zu 2FA beinhaltet einige Änderungen an der Benutzererfahrung sowohl auf der Befehlszeile als auch auf der GitHub-Weboberfläche
Es ist erwähnenswert, dass GitHub Anfang dieses Jahres auch die Betreuer der Top-100-npm-Pakete in die obligatorische 2FA aufgenommen hat, um Angriffe auf die Softwarelieferkette zu verhindern. Es ist geplant, diesen Monat auf die Betreuer der Top-500-Pakete und später auf alle Pakete mit mehr als 500 abhängigen Paketen oder 1 Million wöchentlichen Downloads auszudehnen.