安全第一:GitHub要求所有贡献代码的用户在2023年底前启用双因素认证
IT之家 5月5日消息,GitHub 周三宣布,所有在 GitHub.com 上贡献代码的用户在 2023年底前需要使用一种或多种形式的双因素认证(2FA),才能继续使用该平台。
在一篇博文中,GitHub 指出了采取这一措施的必要性,主要是因为整个软件生态系统的 2FA 采用率总体上仍然很低。目前只有16.5%的 GitHub 活跃用户和6.44%的 npm 用户使用一种或多种形式的 2FA。
开源项目很受欢迎,被广泛使用,对个人和企业都是宝贵的资源。然而,如果黑客破坏了开发者的账户,这可能会导致资源库被劫持、数据被盗和项目被破坏。
确保开源软件的安全仍然是软件行业迫切关注的问题,特别是在去年的 log4j 漏洞之后。但是,尽管 GitHub 的新政策将减轻一些威胁,但系统性的挑战仍然存在:许多开源软件项目仍然由无报酬的志愿者维护,而缩小资金缺口已被视为整个科技行业的一个主要问题。
IT之家注:2FA,2 Factor Authentication,双因素验证,是一种安全密码验证方式。区别于传统的密码验证,由于传统的密码验证是由一组静态信息组成,如:字符、图像、手势等,很容易被获取,相对不安全。2FA 是基于时间、历史长度、实物(信用卡、SMS 手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每 60 秒刷新一次。不容易被获取和破解,相对安全。
这基于 GitHub 从头开始构建的全新代码搜索引擎,该引擎的特点是速度更快(大约是旧代码搜索速度的两倍),功能更强大(支持子字符串(substring)查询、正则表达式搜索和符号搜索),并具备一定的代码理解能力,能将最相关的结果放在首位。
此外,研发团队还重新设计了 GitHub 的代码视图,将搜索、浏览和代码导航紧密集成起来。
我们来看一下改进之后,GitHub 的应用效果。
修复 bug
修复 bug 是软件开发中最常遇到的工作情况之一。在修复之前,开发者们首先要找到 bug 在哪。一个大型软件或项目通常具有多个系统或存储,如果没有代码搜索,开发者就不得不克隆一堆存储库并使用 grep 遍历它们。现在借助 GitHub 的代码搜索功能,开发者可以在大量代码中进行快速查找:
查找配置文件
在实际开发中,项目配置往往是硬性限制条件。GitHub 现在为开发者提供查找配置文件的功能。例如,在代码中搜索包含「内存(memory)」一词的 YAML 配置文件,就能查看一些内存占用情况:
这种查询功能对于开发中的资源规划与分配至关重要。
此外,GitHub 还制定了一些避免安全漏洞的规则,例如禁止使用 dangerouslySetInnerHTML 将危险的字符串注入 DOM。
机器之心报道 今日70正式上线,GitHub向所有用户开放全新代码搜索引擎
GitHub1K2022-07-22