GitHub强制实施2FA和访问令牌，强化npm安全防护

GitHub正在推出一系列防御措施，以应对平台上导致最近多起大规模事件的供应链攻击。

从攻陷GitHub仓库开始，然后蔓延到NPM的知名网络攻击包括：8月底的“s1ngularity”攻击、9月初的“GhostAction”活动，以及上周被称为“Shai-Hulud”的蠕虫式活动。

这些攻击导致数千个账户和私有仓库被攻陷，敏感数据被盗，并产生了巨大的修复成本。

尽管GitHub迅速响应以最小化这些事件的影响，但这个开发者平台承认，更强有力的主动措施会更有效。

为了降低这些风险，GitHub宣布将逐步实施以下措施：

已在多个生态系统中采用的可信发布被强烈鼓励，因为它消除了在构建系统中管理API令牌的需要。

建议NPM维护者立即切换到可信发布，同时强制执行发布和写入的2FA，并使用WebAuth而不是基于时间的一次性密码（TOTP）进行2FA。

这个代码托管和协作平台将逐步推出这些更改，并提供必要的文档和迁移指南，以最小化对现有工作流程的干扰。

公告还强调，生态系统安全是集体责任，期望开发者自己采取行动，通过采用平台上可用的更好安全选项来减轻供应链风险。

Ruby Central也宣布加强对RubyGems包管理器的治理，以改进其供应链保护。

这个生态系统最近也遭受了类似问题，比如一个包含60个恶意Ruby gem的活动被下载了27.5万次，另一个活动则对Telegram的Fastlane项目进行了域名抢注。

在新的治理模型和基础政策最终确定之前，只有Ruby Central员工将拥有管理员访问权限。

公告承诺将转向更透明、以社区为中心的模型。计划在今天晚些时候举行的问答环节预计将澄清与这一突然行动相关的担忧，许多Ruby社区成员将其描述为粗暴接管。