開源軟體套件管理系統NuGet.org宣布,將從3月8日開始,要求帳戶都要啟用雙因素驗證,官方提到,他們參考了產業最佳實踐,並在仔細評估之後作出這項決定。

由於未啟用多因素身分驗證的帳戶,在各種套件管理系統,都發生不少安全攻擊事件,攻擊者只需要使用一個密碼,就能夠破壞整個生態系。套件管理器被入侵可能導致重大安全事件,影響擴及多家企業中的供應鏈,另外,NuGet也提到,用於上傳和管理套件的API金鑰,也是惡意攻擊者的目標之一。

官方表示,到目前為止,NuGet.org中的頂級作者採用雙因素驗證的比率已經很高,超過83%,他們認知到,套件管理器在軟體供應鏈中有著關鍵的作用,因此任何套件和帳戶都有可能成為攻擊目標。

不過,有部份開發者,顧慮啟用雙因素驗證需要提供電話號碼,官方解釋,目前NuGet.org沒有自己的雙因素驗證機制,而是使用微軟帳戶,以及工作或學校帳戶,這些帳戶有許多方法在不提供電話號碼的情況下,滿足雙因素驗證的要求,包括WebAuthN、FIDO2安全金鑰、身分驗證器和一次性驗證碼等。

NuGet從3月8日開始,所有新帳戶都強制啟用雙因素驗證,並在兩個月內逐步要求所有用戶也開始啟用雙因素驗證,還有,官方計畫讓未滿足雙因素驗證條件下生成的API金鑰失效,以確保所有經過身分驗證的存取都是安全的,官方提到,他們會在這項政策實施前30天發出通知。

如果用戶原本就已經啟用雙因素驗證,則不需要進行任何變更,未啟用雙因素驗證的帳戶,會被重新導向微軟帳戶,以及工作或學校帳戶的雙因素註冊畫面,在NuGet.org使用雙因素驗證並不會變更微軟帳戶的全域雙因素驗證配置,NuGet.org也無法存取用戶雙因素驗證註冊資訊。


熱門新聞

Advertisement