今年 2 月，GitHub 宣布 Top-100 npm 包維護(hù)者要求啟用 2FA（雙因素身份認(rèn)證）；今年 5 月，GitHub 要求所有貢獻(xiàn)代碼的用戶在2023年底前啟用 2FA；現(xiàn)在，GitHub 將這項要求進(jìn)一步擴(kuò)大到 Top-500 npm 包維護(hù)者。

在 GitHub 官方博文中寫道：“按照依賴使用熱度，在 npm 庫上對 top-500 包的維護(hù)者現(xiàn)強(qiáng)制要求啟動雙因素認(rèn)證”。本月初，GitHub 表示只有 16.5% 的 GitHub 活躍用戶和 6.44% 的 npm 用戶使用 2FA。坦白說，這樣的用戶比例是偏低的。

GitHub 的首席安全官 Mike Hanley 表示：“被破壞的賬戶可以被用來竊取未公開的私人代碼或?qū)υ摯a進(jìn)行惡意修改。這不僅使與被入侵賬戶相關(guān)的個人和組織面臨風(fēng)險，而且也使受影響代碼的任何用戶面臨風(fēng)險。因此，對更廣泛的軟件生態(tài)系統(tǒng)和供應(yīng)鏈產(chǎn)生下游影響的可能性是很大的”。

GitHub 在 2021 年 12 月 7 日至 2022 年 1 月 4 日之間首次推出了增強(qiáng)登錄驗證。GitHub 目標(biāo)將讓所有 npm 發(fā)布者加入增強(qiáng)的登錄驗證，在現(xiàn)在擴(kuò)大到 top-500 npm 包維護(hù)者之后，GitHub 的下一步是再擴(kuò)大到所有依賴超過 500 或者每周下載量超過 100 萬的軟件包。

根據(jù)在此初始階段的調(diào)查結(jié)果，GitHub 計劃在 2022 年 3 月 1 日為所有 npm 帳戶注冊增強(qiáng)登錄驗證。我們將在 2 月 16 日和 2 月 23 日發(fā)布之前運行兩個限制日期，我們將在 24 小時內(nèi)臨時選擇所有帳戶，以確保在我們?yōu)樗锌蛻粲谰猛瞥龃斯δ軙r不會出現(xiàn)意外。要了解有關(guān)增強(qiáng)登錄驗證的更多信息，您可以訪問我們的文檔。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/