GitHub объявил о поэтапном внедрении обязательной двухфакторной аутентификации. C 13 марта она применяется для отдельных групп пользователей, в том числе для разработчиков, публикующих пакеты, OAuth-приложения и GitHub-обработчики, формирующих релизы, участвующих в разработке критически важных для экосистем npm проектов, OpenSSF, PyPI и RubyGems, а также работающих над четырьмя миллионами самых популярных репозиториев.
К концу года 2FA станет обязательной для всех, без неё невозможно будет отправить изменения.
Как только будет подходить очередь определённой группы для внедрения аутентификации, её пользователи будут получать email-уведомления и видеть предупреждения в интерфейсе GitHub. После отправки первого предупреждения у разработчика будет 45 дней на настройку двухфакторной аутентификации.
Чтобы проходить 2FA, можно будет использовать мобильное приложение, подтверждение через SMS или ключ доступа. В качестве приоритетного варианта рекомендуется использовать приложения, создающие одноразовые пароли с ограниченным сроком действия (TOTP), такие как Authy, Google Authenticator и FreeOTP.
В GitHub отметили, что двухфакторная аутентификация усилит защиту процесса разработки и обезопасит репозитории от внесения вредоносных изменений после утечек данных.
GitHub объявил об обязательном включении двухфакторной аутентификации в декабре. Одновременно платформа внедряет поддержку бесплатного сканирования открытых секретов, таких как учётные данные и токены аутентификации, во всех общедоступных репозиториях.
