Веб-хостинг потребует от всех пользователей, загружающих код, включить двухфакторную аутентификацию (2FA) для дополнительной защиты своих аккаунтов.
Кого затронут изменения
Требование GitHub коснется примерно 83 млн пользователей. Подключение двухфакторной аутентификации начнется с марта 2023 года. Пользователей разделят на группы и для каждой из них будут постепенно вводить требование подключения 2FA. Это позволит оценить эффективность нового условия и внести при необходимости изменения перед масштабированием требования на всех пользователей.
Для формирования групп представителей ориентировались на следующие признаки:
- пользователи, опубликовавшие приложения или пакеты GitHub или OAuth;
- пользователи, создавшие релиз;
- пользователи, являющиеся администраторами предприятия и организации;
- пользователи, которые добавили код в репозитории, признанные критическими npm, OpenSSF, PyPI или RubyGems;
- пользователи, которые внесли код в 4 млн самых популярных общедоступных и частных репозиториев.
GitHub напоминает: подключение двухфакторной аутентификации повысит безопасность учетных записей благодаря введению дополнительного шага, который требует ввода одноразового кода. Обязательное применение 2FA для всех аккаунтов сделает ИТ-хостинг более защищенным и даст разработчикам уверенность в качестве кода, который загружают другие пользователи в репозитории.
Процесс перехода
Для каждой группы пользователей GitHub будет подключать двухфакторную аутентификацию поэтапно. Сперва пользователь получит предварительное уведомление о включении 2FA по электронной почте, после чего у него будет 45 дней на то, чтобы активировать функцию. Отсчет времени начинается с момента первого посещения платформы после получения уведомления. Если разработчик не выполнит требования веб-хостинга, то для его аккаунта будут заблокированы возможности GitHub.
Спустя 28 дней после подключения двухфакторной аутентификации пользователю необходимо пройти обязательную проверку, чтобы подтвердить корректность работы 2FA. Также будет предоставлено право изменить настройки аутентификации и восстановить любые утерянные коды.
Постепенное внедрение двухэтапной аутентификации на GitHub уже началось. В ноябре 2022 года ИТ-хостинг установил в репозитории npm обязательное использование 2FA к аккаунтам разработчиков, которые сопровождают пакеты с более чем 1 млн загрузок в неделю или применяются в качестве зависимости у более чем 500 пакетов.