github Introdotte due nuove funzionalità per migliorare la sicurezza degli sviluppatori e migliorare l’esperienza di sviluppo.

In una beta pubblica, la piattaforma è stata rivelata Autenticazione con chiave di accesso, fornendo agli utenti un modo sicuro e senza password per accedere ai propri account. Le passkey sostituiscono le password tradizionali e i metodi di autenticazione a due fattori (2FA), fornendo una maggiore sicurezza riducendo al contempo il rischio di violazioni dell’account.

“Le passkey forniscono la migliore combinazione di sicurezza e affidabilità e rendono gli account significativamente più sicuri senza compromettere l’accesso all’account, il che rimane un problema con altri metodi 2FA come SMS, TOTP e le chiavi di sicurezza per dispositivo singolo esistenti”, Hirsch Sighal, product manager del personale presso GitHub, ha detto a VentureBeat. . “Con il nostro nuovo aggiornamento, gli sviluppatori possono facilmente registrare una passkey sul proprio account GitHub e smettere di usare una password per sempre.”

La piattaforma ha anche introdotto una nuova funzionalità di gestione automatizzata delle filiali nota come Unisci coda. Questa funzionalità consente a più sviluppatori di aderire al codice gestendo senza problemi le richieste pull conformi alle modifiche successive. Se si verifica un problema, lo sviluppatore viene avvisato immediatamente.

Gli ingegneri hanno dovuto affrontare la sfida di integrarsi direttamente in una filiale affollata, che potrebbe portare a conflitti di codice e un ciclo di rielaborazione frustrante.

La coda di unione di GitHub risolve questo problema creando un ramo temporaneo. Questo ramo include le modifiche più recenti dal ramo primario, le modifiche da altre richieste pull già in coda e le modifiche da nuove richieste pull.

La società afferma che questi aggiornamenti danno la priorità alla sicurezza degli sviluppatori e semplificano il processo di sviluppo, rafforzando la reputazione di GitHub come piattaforma affidabile e facile da usare.

Semplifica l’esperienza degli sviluppatori con il consolidamento delle code

Prima della funzione di coda di unione, gli sviluppatori si trovavano spesso nel ciclo di aggiornamento dei rami delle richieste pull prima dell’unione. Questo passaggio era necessario per garantire che le loro modifiche non interrompessero il ramo del codice principale durante l’unione.

Con ogni aggiornamento, è stato necessario completare un nuovo ciclo di controlli di integrazione continua (CI) prima che lo sviluppatore potesse procedere con l’integrazione. Inoltre, se un’altra richiesta pull viene unita, ogni sviluppatore dovrà ripetere l’intero processo.

Per semplificare e automatizzare questo flusso di lavoro, le code di unione combinano sistematicamente le richieste di pull del codice. Ogni richiesta pull nella coda viene creata insieme alle richieste pull precedenti.

Quando la richiesta pull di un utente è indirizzata a un ramo utilizzando una coda di unione, l’utente può aggiungerla alla coda facendo clic su “Unisci quando pronto” nella pagina della richiesta pull o tramite GitHub Mobile, una volta soddisfatti i requisiti di unione.

Questa azione crea un ramo temporaneo all’interno della coda, incluse le ultime modifiche dal ramo principale, le modifiche da altre richieste pull già in coda e le modifiche dalla richiesta pull dell’utente.

Se una richiesta pull in coda incontra conflitti di unione o non supera i controlli di stato obbligatori, verrà automaticamente rimossa dalla coda quando raggiunge la parte anteriore della coda.

Allo stesso tempo, viene inviata una notifica all’utente. Una volta risolto il problema, la richiesta pull può essere aggiunta nuovamente alla coda.

Per ottenere una panoramica completa dello stato della coda, gli sviluppatori possono accedere alla pagina dei dettagli della coda tramite i rami o la pagina della richiesta pull. Questa pagina fornisce un’istantanea delle richieste pull in coda, insieme allo stato di ciascuna, inclusi i controlli dello stato richiesti e il tempo stimato per l’unione.

Fornisce inoltre informazioni dettagliate sul numero di richieste pull unite e tiene traccia delle tendenze negli ultimi 30 giorni.

Migliore protezione del codice con passkey

Singhal di GitHub ha affermato che la maggior parte delle violazioni della sicurezza sono causate da attacchi poco costosi e comuni, tra cui ingegneria sociale, furto di credenziali e perdita. confermalo 80% delle violazioni dei dati attribuito alle password.

La società ha introdotto la sua funzione passkey in risposta. Ciò migliora la sicurezza dell’account sviluppatore garantendo al tempo stesso un’esperienza utente senza interruzioni. La piattaforma aveva precedentemente implementato un’iniziativa 2FA; Ora sta espandendo ulteriormente i suoi sforzi introducendo l’autenticazione passkey su GitHub.com.

“Il furto di password o token è una delle principali cause di acquisizione di account (ATO). GitHub fornisce la scansione segreta per i segreti trapelati (come password o token) per ridurre il furto e la maggiore sicurezza delle passkey ci offre un modo efficace per prevenire il furto di password e ATO “.

Singhal ha sottolineato che le passkey offrono una maggiore resistenza ai tentativi di phishing rispetto alle password tradizionali e sono significativamente più difficili da indovinare.

“Nemmeno tu devi ricordare nulla: i tuoi dispositivi lo fanno per te e verificano la tua identità prima di autenticarsi con qualsiasi sito web a cui accedi. Quindi sono generalmente più sicuri, più facili da usare e più difficili da perdere.”

Conserva il tuo accesso se perdi il telefono

Ha detto che uno scenario comune che porta alla perdita dell’accesso a un account GitHub è un telefono rotto o sostituito. Questa sfortunata situazione si verifica quando un utente configura 2FA su un dispositivo che successivamente si arresta in modo anomalo, impedendogli di utilizzare i restanti metodi 2FA e bloccando di fatto il proprio account.

Le passkey offrono una soluzione abilitando la sincronizzazione tra dispositivi facilitata da provider di passkey affidabili come iCloud, Dashlane, 1Password, Google e Microsoft.

Questi e altri fornitori hanno creato sistemi sicuri che garantiscono il trasferimento continuo delle passkey tra i dispositivi e nel cloud. Di conseguenza, perdere o danneggiare un singolo dispositivo non significa più perdere definitivamente la passkey.

“A livello tecnico, le passkey sono una coppia di chiavi pubblica e privata che viene generata in base al dominio. Ciò garantisce tre cose: non esistono due passkey uguali; credenziali a prova di phishing e hack”, ha spiegato Singhal. “Il vantaggio principale è la facilità di accesso a nuovi dispositivi senza compromettere la sicurezza del tuo account. Puoi avere una passkey sul tuo telefono e usarla per accedere alla biblioteca, ad esempio, senza ricorrere alle credenziali di backup o alla password.”

L’autenticazione cross-device (CDA) classica in OAuth2 si basa sul flusso del codice macchina, che rappresenta una vulnerabilità per gli attacchi di riproduzione. In tali attacchi, l’aggressore manipola la situazione inoltrando alla vittima un codice QR o un codice di accesso del dispositivo. Se la vittima utilizza questo token per accedere, autorizza inavvertitamente la sessione dell’aggressore.

Con le passkey, CDA adotta un approccio diverso. Crea un canale sicuro e dedicato direttamente tra i due dispositivi coinvolti. Questo canale univoco consente a un dispositivo di utilizzare la passkey di un altro senza esporre le credenziali effettive.

Singhal ha confermato che il nuovo aggiornamento migliora anche la resistenza ai tentativi di phishing. Ciò viene eseguito dal dispositivo di autenticazione, come un telefono, verificando la vicinanza del dispositivo richiedente, come un laptop.

“Ciò significa che l’aggressore non può inoltrare il codice QR CDA alla vittima e farglielo utilizzare per accedere: il telefono eseguirà la scansione del codice QR e inizierà a cercare il computer dell’aggressore a cui connettersi”, ha affermato. “Poiché non c’è, l’autenticazione fallisce, così come l’attacco.”