原标题:GitHub也要扫码或短信验证了,不启用不能提交代码,明年底执行
GitHub现在很焦虑,因为针对开源软件的黑客攻击越来越多了。
他们统计了一圈所有账号的安全设置后,发现了一个情况:只有16.5%的用户启用了双重身份认证功能。
现在GitHub正式宣布:
要求所有代码贡献者在2023年底之前启用双重身份认证。
换句话说,要是不启用这个功能,以后就不能往GitHub仓库里提交代码了。
所谓双重身份认证(Two-Factor Authentication),就是在账号密码以外还额外需要一种方式来确认用户身份。
国内这种做法已经很常见,比如手机App扫码,或者接收短信验证码。
具体到GitHub还支持使用第三方验证工具如1Password或微软的Microsoft Authenticator。
至于短信验证码也不是所有手机号都能收,比如我们的区号+86就不支持……
对于GitHub的做法,用户的反应也是褒贬不一。
有人认为GitHub统计出来的数据应该解释成,高达83.5%的用户不愿意使用双重身份认证。
这样做是搬起石头砸自己脚,一旦他们要求这样做,我就会换别的平台。
也有一部分人是出于隐私方面考虑,不愿意让GitHub知道自己的手机号。
但还是有很多开发者对此表示赞同,因为软件供应链攻击可是让他们吃了不少苦头。
双重身份认证能防什么攻击?
根据安全公司Aqua Security的数据,2021年针对软件供应链的攻击增加了300%以上。
直接向常用的依赖代码库注入恶意代码、上传容易混淆的代码库等手段层出不穷
作为最大的开源软件平台,GitHub深受其困。
比较著名的有GitHub服务器被黑客用来挖矿。
在这个例子中,黑客通过发起恶意Pull Request,利用GitHub Action的漏洞来白嫖服务器资源。
虽然被发现后GitHub可以封禁违规账号,但黑客们玩起了“游击战术”,不断更换马甲号逃避“追捕”。
挖矿黑客仅用3天就能在GitHub上提交代码超过2.33万次,持续作案很长时间也未能根除。
提交代码时强制双重身份认证的措施,正可以增加黑客的作恶成本。
除了GitHub平台本身,旗下的知名包管理工具npm也常被黑客盯上。
而且据统计npm开发者的安全意识还要更低,只有6.44%启用了双重身份认证。
今年3月底,一个代号为“RED-LILI”的黑客组织发起了针对NPM的大规模攻击,投放了超过800个恶意代码包。
北卡罗来纳州立大学的一项研究表示,很多npm开发者的邮箱域名都过期了但还用来登录。
没有双重身份认证的话,黑客只要把域名买下来就可以劫持账户,在开源项目中注入恶意代码。
对此,GitHub已经要求npm下载量前一百的开发者开启双重身份认证,取得了不错的效果,并打算把这一经验用在GitHub上。
尽管双重身份认证确实能增加安全性,还是有不少开发者反对,因为用户体验实在不咋地。
把登录方式与手机绑定在一起的话,万一手机坏了、丢了或者换手机时忘记解绑就容易影响开发工作。
而GitHub把最后期限定到2023年底,也是打算用这段时间再好好打磨一下。
你的GitHub账号开启双重身份认证了么?哪个认证工具好用欢迎分享一下~
,GitHub启用上传音乐 双重身份认证才能提交接码 明年尾执行相关:
网约车没有春天?滴滴退市、Uber巨亏、Lyft暴跌……周二美股盘后,Lyft公布一季度财报和二季度业绩展望。仅仅一天之后,Lyft的老冤家Uber也公布了一季度财报,两大巨头的表现都一言难尽:前者活跃用户数、二季度业绩指引均不及市场预期,后者由于投资失利一季度录得59亿美元的归母净亏损。从Lyft到Uber,再到深陷退市风波中的滴滴,全球三大网约车巨头均如履薄冰。头部平台尚且如此,背后更多中腰部玩家的处境也就不言而喻了。网约车行业的低潮因何而来?价值研究所(ID:jiazhiya..
今年一季度股权融资额腰斩过半|钛媒体创投季报“两极分化、退出艰难”大致可以概括2022年第一季度中国股权投资市场的基本面。募资币种两极化,外币基金遇冷,人民币基金一骑绝尘,总募资数量超外币基金67倍多;募资结构两极化,单项基金大行其道,占总规模近六成,50亿规模大额基金频频成立。投资阶段两极化,“猛砸”中后期成熟项目寻找确定性,“押注”早期阶段A轮项目笃定独角兽;投资地域两极化,南方长三角占据投资总数量半壁江山,北方北京倾尽全力打造“北京智造”“..
世卫新冠衰亡数据遭印度报复:多了10倍!新冠疫情持续在全球蔓延,但对于确诊、死亡数字,不同的国家、机构有着不同的数据,但是无论世卫组织还是很多专家,都认为当下很多数据都被严重低估了,尤其是美国和印度。据法新社报道,世卫组织估计,2020年疫情爆发以来,印度约有475万人死于新冠,实际范围在330万-650万人之间,占全球因疫情死亡人数的近1/3。世卫组织表示,这一数据既包括直接死于新冠肺炎的人,也包括那些因疫情冲击医疗系统和社会而导致死亡的人。世卫组..
Unicode尺度新增五个行星符号 包含中国水神共工等IT之家 5月6日消息,Unicode 标准宣布将5个行星符号加入字符集,包括中国水神共工等。官网博客称,2022年1月,Unicode 技术委员会批准在 Unicode 15.0 中发布五个新符号。预计发布日期为2022年9月,这些符号基于太阳系中新发现的跨海王星天体 (TNO,在海王星轨道之外的天体)。它们是由天文学家和加州理工学院教授 Michael Brown 博士领导的研究成果。这五个天体绕太阳运行的距离远大于八大行星。它们目前被认为足够大..
再生能力这件事上 人类真的太弱了在超级英雄电影里,再生能力是一个强力技能点。不论受到什么伤害,一会儿就能满血复活继续战斗。像贱贱的死侍,断手断脚、掏心挖肺都能再长出来。断手断脚也能继续长出来|Giphy普通人当然也有一些再生能力,比如肝脏,一个健康的人即使捐赠出2/3的肝脏,剩下的那1/3也可以在几个月之内再生,恢复到正常的大小。但可惜的是,对人来说至关重要的心脏,却不能再生。我们的心脏由心肌细胞组成。这些细胞维持着心脏的跳动,它们一旦..
Win11用久了会机能下降?微软认可了:这是个bug在网吧里,电脑遇到了什么奇怪的性能或者bug问题,网管会让大家重启电脑,基本上能解决绝大多数问题,性能恢复如初,现在Win11也有类似的情况下了,那就是开机用久了真的会性能下降,微软已经确认并修复了问题。开机使用电脑的过程中,随着应用软件的增多,占用的CPU/内存资源多了,性能确实会下降,这是正常的,而Win11开发版不一样,使用时间长了性能会下降的原因跟资源管理器有关。这个bug不仅仅是导致性能下降,积累下去之后..
买公司、抢人才:英特尔和AMD继续围攻英伟达原标题:买公司、抢人才,英特尔、AMD继续围攻英伟达正式完成对芬兰半导体公司Siru Innovations的收购,英特尔在追赶英伟达的路上又增添了一笔重磅砝码。从技术的角度看,Siru Innovations在计算机图显领域有深厚的积累,技术涵盖高级API到底层GPU架构解决方案等环节;从业务和市场占有率的角度看,Siru Innovations多年来积累的人脉、客户资源全部被英特尔收入囊中,也让后者如虎添翼。当然,在价值研究所(ID:jiazhiyanjiu..
内存价钱跌跌不休 厂商被拖累:看不到绝顶最近装机的朋友,有没有感觉内存价格还不错?根据Digitimes的报道,内存模组的价格在5月份依然处于下滑轨道,这一趋势还会一直延续到二季度末。因此,受拖累的内存合约价格也让厂商们难受,暂时还看不到尽头。实际上在一季度,DDR4内存批发价连续稳定了3个月,可没想到进入二季度还是崩了。此前有报道称,三星、美光及SK海力士三大巨头有意打破内存市场的牛熊周期循环,放弃了以往的激进战略,不再追求市场份额。三星不希望内存..
3月全球电动车市场名目再生变 特斯拉超越比亚迪重夺冠军今年以来,比亚迪走势较强,在全球电动车市场中已经连续两月超过了特斯拉。不过,这种局面在3月份被打破,特斯拉重夺冠军。EV Sales最新统计的数据显示,今年3月份,新能源乘用车销量达85.1万辆,同比大增60%,市场渗透率升至15%,其中纯电动车市场份额达11%。在全球电动车销量排名前二十的榜单中,特斯拉夺得冠军,比亚迪排名第二。此外,中国品牌上榜数量占了一半。特斯拉3月销量达18.0万辆,市场份额占比高达21.2%。比亚迪3..
乌媒:乌军发射海王星导弹击中一艘俄军护卫舰乌克兰敖德萨当地媒体《杜马报》5月6日报道,乌军发射“海王星”反舰导弹击中了一艘位于蛇岛附近的俄军11356型护卫舰。报道称,俄军机正在事发的黑海海域上空盘旋,救援船只已经从克里米亚方向赶来。报道称,有关俄军舰发生爆炸的信息5月5日晚就已在社交网络上出现,目前事件已经得到确认。乌媒还上传了一张卫星照片,显示一艘船只在黑海发生火灾。截至目前,俄军尚未对此进行回应。