github

軟體供應鏈資安該怎麼從源頭防範?作為全球最具代表性的軟體原始碼代管服務平台 GitHub 開出第一槍,宣布到 2023 年底前所有在該網站上傳程式碼的使用者都必須啟用雙重身分認證機制(2FA)否則將無法繼續使用該平台。

GitHub 安全長(CSO) Mike Hanley 在部落格中宣布了這項政策,他寫道,「軟體供應鏈始於開發人員,保護開發者免於駭客攻擊是確保供應鏈安全的第一步,也是最關鍵的一步。」Hanley 表示,GitHub 希望可以藉此提升整個軟體開發社群的安全性。

保護開發軟體的安全,仍然是軟體產業的一個極具急迫性的問題,尤其是全球企業共同經歷了去(2021)年的 Log4j 漏洞事件之後。當時,這項安全漏洞不但殃及蘋果 iCloud、微軟 Minecraft、Steam 以及推特的重要服務,就連美國國安局都受到影響,被媒體形容為是「核彈級漏洞」。

TO 延伸閱讀:全世界共同對抗 Log4j 超大資安漏洞,志願者抬出電腦來幫忙

僅 16.5% GitHub 使用者啟用雙重身分認證

然而,儘管 GitHub 使用者應該是對資安風險有基礎認知的開發者,但根據 GitHub 內部資料顯示,目前只有大約 16.5% 的活躍使用者有啟用這項機制。

資安防護已成為企業決策者、CIO 資訊長、
IT 部門主管、前線工程師的重點關注項目!
立刻報名資安線上特展,為企業資安充滿電

此外,科技媒體 THE VERGE 也指出,儘管 GitHub 新政策可能可以緩解某種程度的威脅,但系統性的挑戰仍然存在,那就是目前仍有許多開源軟體項目仍由無償志願者維護,如何縮小開源資金缺口,已被視為整個科技行業的主要問題,Linux 之父 Linus Torvalds 就曾感嘆社群後繼無人問題,另根據統計,更有 46% 開源程式碼維護人員沒有薪水

本文提供合作夥伴轉載,資料來源:VERGETO1TO2