为了提高软件供应链的整体安全性,GitHub 重磅宣布,在 2023 年之前,所有使用 GitHub 平台存储代码、做贡献的开发者都需要启动一种或多种形式的双因素身份验证(2FA),否则将无法正常使用该平台。
对此,GitHub 首席安全官(CSO)Mike Hanley 表示,软件供应链的起点是开发者。开发者账户经常会成为社会工程和账户接管的目标,保护开发者免受这些类型的攻击是保护供应链安全的第一步,也是最关键的一步。
为什么要开启 2FA 验证?
事实上,我们常遇到的很多安全漏洞并非是来自非常复杂的攻击事件亦或是零日漏洞,相反,往往是涉及低成本的攻击,如社会工程、密码泄露等。
据 GitHub 博客报道,2021 年 11 月,由于未启用 2FA 的开发者账户遭到入侵,有不少 npm 包被接管。
此外,早期也有不少安全研究人员透露,其可以直接访问 14% 的 npm 包(或者间接访问 54% 的包)。
还有媒体报道,曾被黑客入侵的 Microsoft 账户中,有 99.9% 未启用 2FA。
Mike Hanley 表示,防止低成本攻击的最好方法是采取基于密码的基本认证方法之外的一些措施,当前 GitHub 除了要求用户名、密码登录之外,还要求基于电子邮件的设备验证。如今,2FA 将是下一道防线。
虽然有很多场景已经验证了 2FA 的有效性,但 2FA 在整个软件生态系统中的采用率仍然很低。据 GitHub 内部研究表明,目前有 16.5% 的开发者对自己的账户启用了增强的安全措施,这一占比仅有六分之一。另外,也只有 6.44% 的 npm 用户启用了 2FA。
GitHub 欲在整个平台推动 2FA!
据 protocol 报道,Mike Hanley 透露,双重身份验证的要求将影响 GitHub 平台的 8300 万用户,并且此时提前宣布,可以“确保开发人员的用户体验”。
其实,在今年 2 月,GitHub 已经对其平台上的用户群体进行了强制使用 2FA 的小范围测试体验。彼时,GitHub 选取的测试群体主要是 100 个通过包管理工具 NPM 分发的流行 JavaScript 库的贡献者。由于广泛使用的 npm 包每周可被下载数百万次,它们对恶意软件团伙来说是一个非常有吸引力的目标。在某些情况下,黑客破坏了 npm 贡献者的账户,并利用它们发布软件更新,安装密码窃取器和加密货币挖掘软件。
同时,GitHub 计划在今年 5 月底将测试范围从 100 个扩大 500 个软件包的贡献者们。
对此,Hanley 表示,从这一较小的试验中得到的经验,也将被用于在整个平台上推广 2FA 。"我认为我们有一个很大的好处,那就是我们现在已经在 NPM 上做了这个。从与我们交谈过的开发者、创作者社区中得到的反馈而言,我们从这一经验中学到了很多,我们也与他们进行了非常积极的对话,讨论好的(做法)是什么样子。"
针对 GitHub 的强制做法,站在平台的角度来看,虽然有不少开发者表示认同此举确实能在一定程度上保证账户的安全性,但是也有不少人投了反对票:
@网友 1:
并非每个 GitHub 账户都是关键任务。有些只是为了提交作业而创建的。添加强制性 2FA 是一个额外的负担,特别是如果微软决定强制使用手机号码。
@网友 2:
我不使用 GitHub,但这似乎有点过分了,这是否也适用于私有存储库呢?
@网友 3:
换句话说,Github 也想要收集你的电话号码。他们甚至费心想出一个可爱的理由:在供应链攻击时代提高安全性。
https://github.blog/2022-05-04-software-security-starts-with-the-developer-securing-developer-accounts-with-2fa/
https://www.protocol.com/bulletins/github-open-source-software-security
https://news.ycombinator.com/item?id=31262597
火狐 未通过验证Mozilla is rolling out two factor authentication for Firefox accounts and if you sync passwords using Firefox Sync you should enable it immediately.
Mozilla正在为Firefox帐户推出两步验证,如果您使用Firefox Syn...
最近被
GitHub
双
重认证问题搞的头疼。这里给大家分享点儿经验。
1:
双
重认证设置成功后需要把那一串code保存好
2:如果要恢复
双
重认证,点击two-factor recovery来恢复
3:之前保存的这些code用一行即可,不要把整个复制进来
4: 最后一招,实在不行就给
Github
发邮件,哈哈。
如下图所示
如果更换手机或者手机重新安装了
身份验证
器,可以点击下面按钮恢复。
注意:重新安装
身份验证
器或换手机时,网页端的
GitHub
不要退出,以免后续恢复麻烦。
请关注我的站点:https://ww
mongodb启用
身份验证
by Nitin Sharma 由Nitin Sharma
启用两
因素
身份验证
之前应了解的事项 (Things You Should Know Before Enabling Two-Factor Authentication)
With Cybersecurity becoming a big concern, two-factor authentication (...
一、问题描述
由于最近
github
最近的改动使得node_modules依赖出现无法下载的问题,为了避免将来遇到或是现在出现无法解决因此做一篇文档帮助大家解决问题。
二、解决步骤
1、首先进入
GitHub
(如果进不去可能需要科学上网),点击头像打开下拉栏,进入settings页面。
2、点击进入下面的developer settings页面
3、在此页面下点击generate new token
4、在新打开的页面中选中下方所有复选框,然后点击生成token
5、最后,这里注意保存下方生存的toke
https://
github
.blog/2020-12-15-token-authentication-requirements-for-git-operations/
大概的意思是
github
从2021-7月
开启
了
双
因子认证,以后git push/pull都需要token操作了
具体应该怎么操作,请参考
https://docs.
github
.com/cn/
github
/authenticating-to-
github
/keeping-your-account-and-data-secure/cre
c := &serial.Config{Name: "/dev/ttyUSB0", Baud: 115200}
// 打开串口
s, err := serial.OpenPort(c)
if err != nil {
log.Fatal(err)
// 在这里可以进行串口通信
// ......
// 关闭串口
s.Close()
在上面的代码中,我们首先使用 `serial.Config` 结构体来配置串口参数,然后使用 `serial.OpenPort` 函数来打开串口。打开成功后,就可以使用串口进行通信了。最后,记得使用 `s.Close` 来关闭串口。
注意: 在打开串口之前,你需要确保串口已经连接到电脑上,并且电脑已经安装了相应的驱动。
