GitHub現(xiàn)在很焦慮，因?yàn)獒槍﹂_源軟件的黑客攻擊越來越多了。

他們統(tǒng)計了一圈所有賬號的安全設(shè)置后，發(fā)現(xiàn)了一個情況：只有16.5%的用戶啟用了雙重身份認(rèn)證功能。

——要求所有代碼貢獻(xiàn)者在2023年底之前啟用雙重身份認(rèn)證。

換句話說，要是不啟用這個功能，以后就不能往GitHub倉庫里提交代碼了。

所謂雙重身份認(rèn)證（Two-Factor Authentication），就是在賬號密碼以外還額外需要一種方式來確認(rèn)用戶身份。

國內(nèi)這種做法已經(jīng)很常見，比如手機(jī)App掃碼，或者接收短信驗(yàn)證碼。

具體到GitHub還支持使用第三方驗(yàn)證工具如1Password或微軟的Microsoft Authenticator。

對于GitHub的做法，用戶的反應(yīng)也是褒貶不一。

有人認(rèn)為GitHub統(tǒng)計出來的數(shù)據(jù)應(yīng)該解釋成，高達(dá)83.5%的用戶不愿意使用雙重身份認(rèn)證。

這樣做是搬起石頭砸自己腳，一旦他們要求這樣做，我就會換別的平臺。

也有一部分人是出于隱私方面考慮，不愿意讓GitHub知道自己的手機(jī)號。

但還是有很多開發(fā)者對此表示贊同，因?yàn)檐浖?yīng)鏈攻擊可是讓他們吃了不少苦頭。

根據(jù)安全公司Aqua Security的數(shù)據(jù)，2021年針對軟件供應(yīng)鏈的攻擊增加了300%以上。

比較著名的有GitHub服務(wù)器被黑客用來挖礦。

在這個例子中，黑客通過發(fā)起惡意Pull Request，利用GitHub Action的漏洞來白嫖服務(wù)器資源。

雖然被發(fā)現(xiàn)后GitHub可以封禁違規(guī)賬號，但黑客們玩起了“游擊戰(zhàn)術(shù)”，不斷更換馬甲號逃避“追捕”。

挖礦黑客僅用3天就能在GitHub上提交代碼超過2.33萬次，持續(xù)作案很長時間也未能根除。

提交代碼時強(qiáng)制雙重身份認(rèn)證的措施，正可以增加黑客的作惡成本。

除了GitHub平臺本身，旗下的知名包管理工具npm也常被黑客盯上。

而且據(jù)統(tǒng)計npm開發(fā)者的安全意識還要更低，只有6.44%啟用了雙重身份認(rèn)證。

今年3月底，一個代號為“RED-LILI”的黑客組織發(fā)起了針對NPM的大規(guī)模攻擊，投放了超過800個惡意代碼包。

北卡羅來納州立大學(xué)的一項(xiàng)研究表示，很多npm開發(fā)者的郵箱域名都過期了但還用來登錄。

沒有雙重身份認(rèn)證的話，黑客只要把域名買下來就可以劫持賬戶，在開源項(xiàng)目中注入惡意代碼。

對此，GitHub已經(jīng)要求npm下載量前一百的開發(fā)者開啟雙重身份認(rèn)證，取得了不錯的效果，并打算把這一經(jīng)驗(yàn)用在GitHub上。

盡管雙重身份認(rèn)證確實(shí)能增加安全性，還是有不少開發(fā)者反對，因?yàn)橛脩趔w驗(yàn)實(shí)在不咋地。

把登錄方式與手機(jī)綁定在一起的話，萬一手機(jī)壞了、丟了或者換手機(jī)時忘記解綁就容易影響開發(fā)工作。

而GitHub把最后期限定到2023年底，也是打算用這段時間再好好打磨一下。

總結(jié)

以上是生活随笔為你收集整理的GitHub也要扫码或短信验证了：不启用不能提交代码！的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。