CDIC 2023

GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน 2FA

GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน Two-factor Authentication (2FA) เพื่อเพิ่มความปลอดภัยในระบบ Software Supply Chain

Credit: GitHub

การโจมตี Software Supply Chain ส่วนหนึ่งเกิดจากการโจมตีผ่านทางนักพัฒนา เช่น โจมตีผ่าน Social Engineering หรือนักพัฒนาบางรายที่อาจะใช้งานรหัสผ่านที่ไม่มีความแข็งแรงเพียงพอ โดยเมื่อผู้ไม่หวังดีได้ข้อมูล Credential ของนักพัฒนาไป จะทำให้สามารถเข้าถึงซอร์สโค้ดต่างๆ ที่อยู่ภายใต้ Repository โดยอาจทำการแก้ไข, ขโมยข้อมูลออกมา หรือทำการแอบฝังโค้ดที่ไม่ปลอดภัยลงไปได้ ก่อนหน้านี้ Heroku เคยเกิดกรณีการโจมตีคล้ายกันนี้มาแล้ว ซึ่งผู้ไม่หวังดีทำการเจาะ Git Repository ภายในและทำการขโมย OAuth token ออกไป

GitHub มีความพยายามในการป้องกันการโจมตี Software Supply Chain ซึ่งเล็งเห็นว่าควรเริ่มจากนักพัฒนาเองเป็นลำดับแรก โดยจะทำการบังคับให้นักพัฒนาทั้งหมดเปิดใช้งานระบบ 2FA สำหรับเข้าใช้งาน ก่อนหน้านี้ GitHub ได้ยกเลิก Basic authentication ออกไปแล้ว และเปิดใช้งานอีเมล์สำหรับการทำ Verification

การ Rollout จะเริ่มจาก Package npm ก่อน หลังจากนั้นจะค่อยๆขยายไปสู่ Package ลำดับที่ 100 และ 500 ตามลำดับ และจะบังคับให้นักพัฒนาทั้งหมดเปิด 2FA ภายในปี 2023 ปัจจุบัน GitHub มีผู้ใช้งานที่เปิดใช้งาน 2FA แล้ว 16.5% เท่านั้น

ที่มา: https://www.zdnet.com/article/github-launches-new-two-factor-authentication-mandates-for-code-developers/

 


About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนมือใหม่ผู้หลงใหลใน Enterprise IT และซูชิ

Check Also

LINE ประเทศไทย จัดงาน LINE Conference Thailand 2023 ชูเทคโนโลยี Hyper-localized ยกระดับชีวิต ธุรกิจ และนักพัฒนา ก้าวสู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” [Guest Post]

ครั้งแรกของ LINE ประเทศไทย กับงานสัมมนาด้านเทคโนโลยีครั้งใหญ่ LINE Conference Thailand 2023 หรือ #LCT23 พร้อมประกาศวิสัยทัศน์ ทิศทาง และกลยุทธ์ก้าวต่อไปในการพัฒนาและดำเนินการด้านเทคโนโลยีใหม่แห่งปี สู่การเป็น “แพลตฟอร์มเปิดเพื่อคนไทย” …

เชิญร่วมงานสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 วันที่ 6 ตุลาคม 2023

Bay Computing ขอเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT Security เข้าร่วมสัมมนาออนไลน์ BAYCOMS Cybersecurity Day 2023 ซึ่งจัดขึ้นภายใต้ธีม “First Class Cybersecurity to …