今年 2 月，GitHub 宣布 Top-100 npm 包維護(hù)者要求啟用 2FA（雙因素身份認(rèn)證）；今年 5 月，GitHub 要求所有貢獻(xiàn)代碼的用戶在2023年底前啟用 2FA；現(xiàn)在，GitHub 將這項(xiàng)要求進(jìn)一步擴(kuò)大到 Top-500 npm 包維護(hù)者。

在 GitHub 官方博文中寫道：“按照依賴使用熱度，在 npm 庫上對(duì) top-500 包的維護(hù)者現(xiàn)強(qiáng)制要求啟動(dòng)雙因素認(rèn)證”。本月初，GitHub 表示只有 16.5% 的 GitHub 活躍用戶和 6.44% 的 npm 用戶使用 2FA。坦白說，這樣的用戶比例是偏低的。

GitHub 的首席安全官 Mike Hanley 表示：“被破壞的賬戶可以被用來竊取未公開的私人代碼或?qū)υ摯a進(jìn)行惡意修改。這不僅使與被入侵賬戶相關(guān)的個(gè)人和組織面臨風(fēng)險(xiǎn)，而且也使受影響代碼的任何用戶面臨風(fēng)險(xiǎn)。因此，對(duì)更廣泛的軟件生態(tài)系統(tǒng)和供應(yīng)鏈產(chǎn)生下游影響的可能性是很大的”。

GitHub 在 2021 年 12 月 7 日至 2022 年 1 月 4 日之間首次推出了增強(qiáng)登錄驗(yàn)證。GitHub 目標(biāo)將讓所有 npm 發(fā)布者加入增強(qiáng)的登錄驗(yàn)證，在現(xiàn)在擴(kuò)大到 top-500 npm 包維護(hù)者之后，GitHub 的下一步是再擴(kuò)大到所有依賴超過 500 或者每周下載量超過 100 萬的軟件包。

根據(jù)在此初始階段的調(diào)查結(jié)果，GitHub 計(jì)劃在 2022 年 3 月 1 日為所有 npm 帳戶注冊(cè)增強(qiáng)登錄驗(yàn)證。我們將在 2 月 16 日和 2 月 23 日發(fā)布之前運(yùn)行兩個(gè)限制日期，我們將在 24 小時(shí)內(nèi)臨時(shí)選擇所有帳戶，以確保在我們?yōu)樗锌蛻粲谰猛瞥龃斯δ軙r(shí)不會(huì)出現(xiàn)意外。要了解有關(guān)增強(qiáng)登錄驗(yàn)證的更多信息，您可以訪問我們的文檔。

（舉報(bào)）