GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน 2FA

GitHub เตรียมบังคับให้นักพัฒนาเปิดใช้งาน Two-factor Authentication (2FA) เพื่อเพิ่มความปลอดภัยในระบบ Software Supply Chain

Credit: GitHub

การโจมตี Software Supply Chain ส่วนหนึ่งเกิดจากการโจมตีผ่านทางนักพัฒนา เช่น โจมตีผ่าน Social Engineering หรือนักพัฒนาบางรายที่อาจะใช้งานรหัสผ่านที่ไม่มีความแข็งแรงเพียงพอ โดยเมื่อผู้ไม่หวังดีได้ข้อมูล Credential ของนักพัฒนาไป จะทำให้สามารถเข้าถึงซอร์สโค้ดต่างๆ ที่อยู่ภายใต้ Repository โดยอาจทำการแก้ไข, ขโมยข้อมูลออกมา หรือทำการแอบฝังโค้ดที่ไม่ปลอดภัยลงไปได้ ก่อนหน้านี้ Heroku เคยเกิดกรณีการโจมตีคล้ายกันนี้มาแล้ว ซึ่งผู้ไม่หวังดีทำการเจาะ Git Repository ภายในและทำการขโมย OAuth token ออกไป

GitHub มีความพยายามในการป้องกันการโจมตี Software Supply Chain ซึ่งเล็งเห็นว่าควรเริ่มจากนักพัฒนาเองเป็นลำดับแรก โดยจะทำการบังคับให้นักพัฒนาทั้งหมดเปิดใช้งานระบบ 2FA สำหรับเข้าใช้งาน ก่อนหน้านี้ GitHub ได้ยกเลิก Basic authentication ออกไปแล้ว และเปิดใช้งานอีเมล์สำหรับการทำ Verification

การ Rollout จะเริ่มจาก Package npm ก่อน หลังจากนั้นจะค่อยๆขยายไปสู่ Package ลำดับที่ 100 และ 500 ตามลำดับ และจะบังคับให้นักพัฒนาทั้งหมดเปิด 2FA ภายในปี 2023 ปัจจุบัน GitHub มีผู้ใช้งานที่เปิดใช้งาน 2FA แล้ว 16.5% เท่านั้น

ที่มา: https://www.zdnet.com/article/github-launches-new-two-factor-authentication-mandates-for-code-developers/

 

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่สหรัฐอเมริกา แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

[Video] WatchGuard Webinar : Zero Trust Made Simple

ในอดีต การวางระบบ Zero Trust Architecture มักถูกมองว่าเป็น ‘ยาขม’ ของฝ่ายไอทีและองค์กรจำนวนมาก เพราะแนวคิดที่ต้อง ‘ไม่เชื่อใจใคร และต้องตรวจสอบเสมอ’ นั้น มักตามมาด้วยความซับซ้อนยุ่งเหยิงในการบริหารจัดการ ในงาน WatchGuard Webinar ครั้งนี้ท่านจะได้รับชมกับแนวทางที่ทำให้ Zero Trust …

ActiveMedia ขอเชิญเข้าฟัง Webinar “Next-Generation Data Protection for Your Business” 23 ก.ค. เวลา 14:00 น.

องค์กรของคุณพร้อมรับมือกับความท้าทายด้านข้อมูลในยุคดิจิทัลแล้วหรือยัง?