Github, platformda son zamanlarda birden fazla büyük ölçekli olaya yol açan tedarik zinciri saldırılarına karşı bir dizi savunma getiriyor.
Github depolarından ödün vermeden ve daha sonra NPM’ye yayılmasından başlayan dikkate değer siber saldırılar arasında Ağustos ayı sonlarında “S1ngicularity” saldırısı, Eylül ayı başlarında “Ghostaction” kampanyası ve geçen haftadan itibaren “Shai-hulud” olarak adlandırılan solucan tarzı kampanya yer alıyor.
Saldırılar, binlerce hesap ve özel depodan ödün verilmesine, hassas verilerin çalınmasına ve önemli iyileştirme maliyetlerine yol açtı.
Github bu olayların etkisini en aza indirmek için hızlı bir şekilde yanıt verse de, geliştirici platformu daha güçlü proaktif önlemlerin daha etkili olacağını kabul ediyor.
Bu riskleri azaltmak için Github, aşağıdaki önlemleri yavaş yavaş uygulayacağını açıkladı:
- Yerel yayıncılık için iki faktörlü kimlik doğrulama (2FA) gerektirir.
- 7 günlük bir ömürle granüler jetonlar uygulayın.
- Güvenilir yayıncılığın benimsenmesini genişletin ve teşvik edin.
- Klasik jetonları ve TOTP 2FA’yı (Fido tabanlı 2FA’ya göç eder) kullanımdan kaldırın.
- Yayınlanma jetonlarının sona ermesini kısaltın.
- Varsayılan Yayınlama Tokenlere Erişim Erişimi.
- Yerel yayıncılık için 2FA’yı atlama seçeneğini kaldırın.
Zaten birden fazla ekosistemde benimsenen güvenilir yayıncılık, yapı sistemlerinde API jetonlarını yönetme ihtiyacını ortadan kaldırdığı için şiddetle teşvik edilmektedir.
NPM bakımcılarının derhal güvenilir yayınlamaya geçmeleri ve yayınlama ve yazma için 2FA’yı zorlamaları ve 2FA için zamana dayalı tek seferlik şifreler (TOTP) yerine WebAuth kullanmaları tavsiye edilir.
Kod barındırma ve işbirliği platformu, bu değişiklikleri kademeli olarak ortaya çıkaracak ve mevcut iş akışlarındaki kesintileri en aza indirmek için gerekli belgeleri ve geçiş kılavuzlarını sağlayacaktır.
Duyuru ayrıca ekosistem güvenliğinin toplu bir görev olduğunu vurgulamaktadır ve geliştiricilerin platformda mevcut daha iyi güvenlik seçeneklerini benimseyerek tedarik zinciri risklerini azaltmak için kendileri harekete geçmeleri bekleniyor.
Ruby Central ayrıca tedarik zinciri korumalarını iyileştirmek için Rubygems Paket Yöneticisi’nin daha sıkı yönetişimini duyurdu.
Bu ekosistem, 275.000 kez indirilen 60 kötü niyetli yakut mücevher ile bir kampanya ve bir diğeri de Telegram için Fastlane projesini yazan bir kampanya gibi benzer problemlerden muzdaripti.
Yeni yönetişim modeli ve altında yatan politikalar kesinleşene kadar, yalnızca Ruby Central personeli yönetici erişimi düzenleyecektir.
Duyuru, daha şeffaf, topluluk merkezli bir modele geçiş vaat ediyor. Bugün daha sonra planlanan bir Soru -Cevap, birçok Ruby topluluk üyesinin ham bir devralma olarak nitelendirildiği ani eylemle ilgili endişeleri temizlemesi bekleniyor.
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.