Das Entwicklerportal
Github litt in den letzten Wochen unter mehreren Cyberangriffen. Zunächst wurden dabei Github-Repositories kompromittiert, dann breitete sich der Angriff auf die NPM Supply Chain aus. Betroffen waren Tausende Accounts und private Repositories. Es kam zum Abfluss von sensiblen Daten und zu erheblichen Kosten für die Wiederherstellung.
Jetzt kündigt Github an, die Sicherheit mit verschiedenen Massnahmen nach und nach zu verbessern. Als Erstes ist für die lokale Veröffentlichung Zweifaktor-Authentifizierung zwingend. Die Option, dies zu umgehen, besteht nicht mehr. Zweitens werden granulare Tokens mit einer Lebensdauer von sieben Tagen obligatorisch. Die Verbreitung von Trusted Publishing soll erweitert werden: Trusted Publishing wird nun ausdrücklich empfohlen. Klassische Tokens und der ältere Zweifaktor-Authentifizierungsmechanismus TOTP gelten als veraltet – neu ist FIDO-basierte Zweifaktor-Authentifizierung der Standard. Weitere Informationen finden sich
im Github-Blog.
(ubi)
