“軟件供應鏈始于開發者。社會工程和賬戶攻擊活動經常把開發者賬戶作為目標，因此保護開發者免受此類攻擊是確保軟件供應鏈安全性的第一步，也是最關鍵的一步。”當地時間5月4日，GitHub首席安全官Mike Hanley在博客中公布GitHub新政策：在2023年底之前，所有在GitHub.com上貢獻代碼的用戶都需要啟用至少一種形式的雙因素身份驗證(2FA)。

盡管雙因素身份驗證為在線賬戶提供了重要的額外保護，但GitHub的內部研究表明，目前只有大約16.5%的活躍用戶和6.44%的npm用戶對其賬戶啟用了增強的安全措施。

GitHub是全球數千萬軟件開發人員使用的代碼托管平臺。Hanley寫道，“GitHub處于獨特的位置，僅憑GitHub.com上的絕大多數開源和創作者社區，我們就可以通過提高安全標準來對整個生態系統的安全產生重大的積極影響。”

保護開源軟件的安全仍然是軟件行業迫切關注的問題，尤其是在去年令企業和政府競相應對的全球計算機網絡重大安全威脅log4j漏洞之后。但是，盡管GitHub新政策將緩解一些威脅，但系統性挑戰仍然存在：許多開源軟件項目仍由無償志愿者維護，縮小資金缺口一直被視為整個科技行業的主要問題。

雙因素身份驗證是什么？為什么GitHub認為賬戶安全和雙因素身份驗證很重要？

雙因素身份驗證概念圖

2FA（2 Factor Authentication，雙因素身份驗證），是指在秘密信息（密碼等）、個人物品（身份證等）、生理特征（指紋/虹膜/人臉等）這三種因素中，同時用兩種因素進行認證。

Hanley寫道，“大多數安全漏洞并非少見的零日攻擊（Zero-day attacks，充分利用先前無人知曉的漏洞施展攻擊）的產物，而是來源于很多低成本攻擊手段，如社會工程（social engineering）、憑證盜竊（credential theft）或泄漏，以及其他很多為攻擊者提供對受害者賬戶及其所有資源的廣泛訪問權限途徑。被入侵的賬戶可用于竊取私有代碼，或將惡意更改推送到這些代碼上。這不僅會將與受感染賬戶相關的個人和組織置于危險之中，而且會讓所有使用受影響代碼的用戶都暴露在風險環境下。因此，這種攻擊可能會對更廣泛的軟件生態系統和供應鏈下游產生巨大的影響。”

這就是為什么雙因素身份驗證可以成為保護關鍵業務系統的有效機制，因為這意味著如果不良行為者獲得了私人登錄憑據，但利用它們要困難得多。

如果想要更直觀理解，那么可以思考，只用賬戶和密碼進行身份驗證會有什么隱患？

在互聯網中，每天都有大量網站遭到黑客攻擊以致有數據外泄，而這些數據中就包括用戶的賬號密碼。拿到賬號密碼后，黑客可以用它們嘗試登錄其他網站，即“密碼撞庫”。

那么為了防止密碼撞庫，網站就會采取更多手段驗證身份信息，像GitHub推出的雙因素身份驗證、登錄警報、設備認證、防用泄露密碼等。

GitHub透露，2021年11月，一些未啟用2FA的開發者賬戶遭到入侵，導致很多npm包（Node Package Manager，簡稱npm包管理工具）被入侵者接管，為此GitHub承諾在npm賬戶安全性方面投入更多資源。

GitHub認為，應對這種攻擊手段的最佳防御措施就是對原有基于密碼的基本身份驗證手段進行升級。“GitHub已經朝這個方向邁出了一步，棄用了針對git操作和我們API的基本身份驗證，并要求在用戶名和密碼之外添加基于電子郵件的設備驗證。2FA是下一道防線。”Hanley寫道。

在接下來的幾個月里，GitHub將分享更多關于強制GitHub.com用戶升級到2FA的詳細信息和時間表。