GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน 2FA

GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน Two-factor Authentication (2FA) เพื่อเพิ่มความปลอดภัยในระบบ Software Supply Chain

Credit: GitHub

การโจมตี Software Supply Chain ส่วนหนึ่งเกิดจากการโจมตีผ่านทางนักพัฒนา เช่น โจมตีผ่าน Social Engineering หรือนักพัฒนาบางรายที่อาจะใช้งานรหัสผ่านที่ไม่มีความแข็งแรงเพียงพอ โดยเมื่อผู้ไม่หวังดีได้ข้อมูล Credential ของนักพัฒนาไป จะทำให้สามารถเข้าถึงซอร์สโค้ดต่างๆ ที่อยู่ภายใต้ Repository โดยอาจทำการแก้ไข, ขโมยข้อมูลออกมา หรือทำการแอบฝังโค้ดที่ไม่ปลอดภัยลงไปได้ ก่อนหน้านี้ Heroku เคยเกิดกรณีการโจมตีคล้ายกันนี้มาแล้ว ซึ่งผู้ไม่หวังดีทำการเจาะ Git Repository ภายในและทำการขโมย OAuth token ออกไป

GitHub มีความพยายามในการป้องกันการโจมตี Software Supply Chain ซึ่งเล็งเห็นว่าควรเริ่มจากนักพัฒนาเองเป็นลำดับแรก โดยจะทำการบังคับให้นักพัฒนาทั้งหมดเปิดใช้งานระบบ 2FA สำหรับเข้าใช้งาน ก่อนหน้านี้ GitHub ได้ยกเลิก Basic authentication ออกไปแล้ว และเปิดใช้งานอีเมล์สำหรับการทำ Verification

การ Rollout จะเริ่มจาก Package npm ก่อน หลังจากนั้นจะค่อยๆขยายไปสู่ Package ลำดับที่ 100 และ 500 ตามลำดับ และจะบังคับให้นักพัฒนาทั้งหมดเปิด 2FA ภายในปี 2023 ปัจจุบัน GitHub มีผู้ใช้งานที่เปิดใช้งาน 2FA แล้ว 16.5% เท่านั้น

ที่มา: https://www.zdnet.com/article/github-launches-new-two-factor-authentication-mandates-for-code-developers/

 


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

Google กำลังเพิ่ม IT Security ใน Chrome

Google ประกาศเพิ่ม Enterprise Connectors Framework แบบ Plug-and-Play เข้ากับ Chrome พร้อมเครื่องมือด้าน IT Security  

ผู้เชี่ยวชาญพบมัลแวร์ ChromeLoader เพิ่มจำนวนขึ้น แนะระวังการดาวน์โหลดซอฟต์แวร์

ChromeLoader เป็นมัลแวร์ที่มีจุดประสงค์ในการ Hijack บราวน์เซอร์ของผู้ใช้ที่น่าจับตา เนื่องจากความสามารถด้านการฝังตัวยาวนาน และจำนวนที่พบมากขึ้นเรื่อยๆ