GitHub 引入全新功能以加固開發者安全性和開發體驗
Github 在公測版本中推出了兩個新功能,以增強開發者的安全性並改善其開發體驗。其中一個功能是「Passkey Authentication」,提供使用者一種無需密碼的安全登入方式。這個方法取代了傳統密碼和雙因素身分取證(2FA),提供更高的安全性並減少帳戶遭受入侵的風險。Github 的員工產品經理 Hirsch Sighal 在接受 VentureBeat 採訪時表示「Passkey 提供了最高的安全性和可靠性,讓帳戶變得更安全,同時不會影響使用者的帳戶存取,這是其他像是簡訊取證、時間同步一次性金鑰(TOTP)和現有的單一裝置安全金鑰所無法達到的。」「藉由我們的新功能,開發者可以輕鬆地在他們的 Github 帳戶上註冊一個 passkey,並永遠停用密碼的使用。」
透過合併佇列最佳化開發者體驗
在以前,開發者在合併分支時常常遭遇難題,包括程式碼衝突和反覆更改的苦惱。GitHub 的合併佇列功能解決了這個問題,它建立了一個臨時分支,該分支包含了來自基礎分支的最新更改、佇列中其他合併請求的更改以及新的合併請求的更改。該公司表示這些更新提高了開發者的安全性,同時最佳化了開發流程,進一步鞏固了 GitHub 作為一個可靠和使用者友好的平臺的聲譽。
在合併佇列功能之前,開發者常常必須在合併之前不斷更新他們的請求分支,以確保其更改不會影響到主程式碼分支。每次更新後,開發者必須完成一輪持續整合 (CI) 檢查,然後才能進行合併。此外如果有其他合併請求被合併,則每個開發者都必須重複整個流程。為了簡化和自動化這個工作流程,合併佇列系統化地協調合併程式碼請求。佇列中的每個請求都與前面的請求一起進行編譯。當使用者的請求對準了使用合併佇列的分支時,使用者可以在請求頁面上點選 "準備好時合併" 或者透過 GitHub Mobile,進行合併的操作。這個操作將在佇列中建立一個臨時分支,該分支包含了來自基礎分支的最新更改、佇列中其他合併請求的更改以及使用者的請求的更改。如果佇列中的合併請求遇到合併衝突或無法透過必須的狀態檢查,它會在到達佇列前端時自動從佇列中移除。同時系統會向使用者傳送通知。一旦問題解決,請求可以重新新增到佇列中。開發者可以透過分支或者請求頁面存取佇列詳細訊息頁面,獲得對佇列上請求的全面理解,包括必須的狀態檢查和預計合併時間。該頁面還提供了合併的請求數量和過去 30 天的趨勢。
透過 passkeys 實現更好的程式碼保護
Github 的 Singhal 表示大多數安全漏洞是由於低成本和常見的攻擊,包括社交工程、憑證盜竊和洩露所導致的。他聲稱,80% 以上的資料泄漏與密碼有關。為此,Github 推出了 passkeys 功能,以增強開發者的帳戶安全性,同時確保無縫的使用體驗。該平臺早期已經實施了雙因素身分取證(2FA)的措施,現在透過引入 passkey 認證進一步擴充套件了其努力。
Singhal 在接受 VentureBeat 採訪時表示: "密碼或令牌被盜是帳戶被盜的主要原因。Github 提供金鑰掃描來檢測是否洩露了金鑰(如密碼或令牌),以減少盜竊的風險,而 passkeys 提供了防止密碼盜竊和帳戶被盜的強大手段。" Singhal 強調相比傳統密碼,passkeys 對於釣魚攻擊有更高的抵抗力,也更難猜測。"而且你不需要記住任何東西,你的裝置會替你記住並在取證你的身份之後,與你存取的網站進行取證。所以它們通常更安全、更容易使用、更難遺失。" 他補充說。
他表示導致使用者無法登入 Github 帳號的一個常見情況是手機的損壞或更換。當使用者在某個手機上設定了 2FA,後來手機發生故障,導致無法使用其他剩餘的 2FA 方法,從而無法登入帳號。Passkeys 透過與可靠的金鑰供應商(例如 iCloud、Dashlane 、1Password、Google 和 Microsoft)進行跨裝置同步,提供了一種解決方案。這些供應商和其他供應商建立了安全的系統,保證 passkeys 在裝置之間和雲端之間的無縫傳輸。因此單一裝置的丟失或損壞不再意味著 passkey 的永久丟失。Singhal 解釋道: "從技術層面上看,Passkeys 是在每個區域產生的一對公私金鑰對。這確保了三件事: 沒有兩個 passkeys 是相同的;具有防釣魚功能;具有防駭功能。"他說: "核心好處是在保證帳戶安全的同時方便用新裝置登入,你可以將 passkey 存在你的手機上,在圖書館使用它登入,而不需要使用備份認證或密碼。"
傳統的跨裝置身分取證 (CDA) 在 OAuth2 中依賴於裝置碼流程,這對於重播攻擊構成了弱點。在這種攻擊中,攻擊者透過轉發 QR 碼或裝置登入碼給受害者,如果受害者使用該碼登入,就無意中授權了攻擊者的會話。而使用 Passkeys,CDA 採用了一種不同的方法。它在兩個裝置之間建立了一個安全且專用的通道。這個獨特通道使得一個裝置可以使用另一個裝置上的 passkey 而不需要暴露真實的憑證。Singhal 強調這次的新更新也增強了防止釣魚攻擊的能力,透過取證裝置(例如手機)和請求裝置(例如筆記型電腦)的接近程度來實現。他說: "這意味著攻擊者無法將 CDA QR 碼轉發給受害者,並讓受害者使用該碼登入——手機將掃描該 QR 碼並開始尋找攻擊者的電腦進行存取。"他補充道: "由於電腦不存在,身份取證失敗,攻擊也失敗。"
延伸閱讀
- GitHub 手機應用程式的 Copilot 聊天現已正式推出
- WhatsApp 推出新功能:社群活動計劃和排程
- Bumble 新功能「開場白」讓女性免去每次起草新訊息的壓力
- GitHub 推出 Copilot Workspace:AI 驅動的軟體工程空間
- Google 推出新功能“口語練習”,利用人工智慧幫助使用者提高英文能力
- Reddit 推出新功能,幫助使用者更輕鬆地在手機應用程式中閱讀討論串
- Hinge 新功能:靜音含有特定關鍵字的邀請
- Reddit 首席產品官談新功能-更好的翻譯、版主工具及開發者工具
- WhatsApp 新功能上線!添增訊息篩選功能助您輕鬆找訊息
- Substack 的筆記功能即將添入更多類似 Twitter 的功能
