جيثبقدم ميزتين جديدتين لتعزيز أمان المطور وتحسين تجربة التطوير.
في إصدار تجريبي عام ، تم الكشف عن النظام الأساسي مصادقة مفتاح المرور، مما يوفر للمستخدمين طريقة آمنة بدون كلمة مرور للوصول إلى حساباتهم. تحل مفاتيح المرور محل كلمات المرور التقليدية وطرق المصادقة الثنائية (2FA) ، مما يوفر مزيدًا من الأمان مع تقليل مخاطر انتهاكات الحساب.
قال هيرش سيغال ، مدير منتج الموظفين في GitHub ، لـ VentureBeat: “توفر مفاتيح المرور أقوى مزيج من الأمان والموثوقية وتجعل الحسابات أكثر أمانًا بشكل ملحوظ دون المساس بالوصول إلى الحساب ، والتي تظل مشكلة مع طرق 2FA الأخرى مثل SMS و TOTP ومفاتيح الأمان الحالية أحادية الجهاز”. “من خلال تحديثنا الجديد ، يمكن للمطورين بسهولة تسجيل مفتاح مرور على حساب GitHub والتوقف عن استخدام كلمة مرور إلى الأبد.”
قدمت المنصة أيضًا ميزة جديدة لإدارة الفروع الآلية تُعرف باسم دمج الذيل. تعمل هذه الميزة على تمكين العديد من المطورين من الالتزام بالتعليمات البرمجية بينما تتعامل بسلاسة مع طلبات السحب التي تتوافق مع التغييرات اللاحقة. في حالة حدوث مشكلة ، يتم تنبيه المطور على الفور.
حدث
VB Transform 2023 حسب الطلب
هل فاتتك جلسة من VB Transform 2023؟ سجل للوصول إلى المكتبة عند الطلب لجميع جلساتنا المميزة.
واجه المهندسون التحدي المتمثل في الاندماج مباشرة في فرع مزدحم ، مما قد يؤدي إلى تعارض في التعليمات البرمجية ودورة محبطة من إعادة العمل.
تعالج قائمة انتظار الدمج في GitHub هذه المشكلة عن طريق إنشاء فرع مؤقت. يتضمن هذا الفرع أحدث التغييرات من الفرع الأساسي ، والتغييرات من طلبات السحب الأخرى الموجودة بالفعل في قائمة الانتظار ، والتغييرات من طلبات السحب الجديدة.
تؤكد الشركة أن هذه التحديثات تعطي الأولوية لأمن المطور وتبسط عملية التطوير ، مما يعزز سمعة GitHub كمنصة موثوقة وسهلة الاستخدام.
تبسيط تجربة المطور من خلال دمج قائمة الانتظار
قبل ميزة قائمة انتظار الدمج ، غالبًا ما وجد المطورون أنفسهم في دورة تحديث فروع طلبات السحب الخاصة بهم قبل الدمج. كانت هذه الخطوة ضرورية لضمان ألا تؤدي تغييراتهم إلى تعطيل فرع الكود الرئيسي عند الدمج.
مع كل تحديث ، كان لا بد من إكمال جولة جديدة من فحوصات التكامل المستمر (CI) قبل أن يتمكن المطور من متابعة الدمج. بالإضافة إلى ذلك ، إذا تم دمج طلب سحب آخر ، فسيتعين على كل مطور إعادة العملية بأكملها.
لتبسيط وأتمتة سير العمل هذا ، يقوم دمج قائمة الانتظار بتنسيق منهجي لدمج طلبات سحب التعليمات البرمجية. يتم إنشاء كل طلب سحب في قائمة الانتظار بالتزامن مع طلبات السحب السابقة.
عندما يتم استهداف طلب سحب المستخدم في فرع باستخدام قائمة انتظار الدمج ، يمكن للمستخدم إضافته إلى قائمة الانتظار بالنقر فوق “الدمج عند الاستعداد” في صفحة طلب السحب ، أو عبر GitHub Mobile ، بمجرد استيفائه لمتطلبات الدمج.
ينشئ هذا الإجراء فرعًا مؤقتًا داخل قائمة الانتظار ، بما في ذلك أحدث التغييرات من الفرع الأساسي ، والتغييرات من طلبات السحب الأخرى الموجودة بالفعل في قائمة الانتظار ، والتغييرات من طلب سحب المستخدم.
إذا واجه طلب سحب في قائمة الانتظار تعارضات دمج أو فشل في أي فحوصات إلزامية للحالة ، فسيتم إزالته تلقائيًا من قائمة الانتظار عند الوصول إلى مقدمة قائمة الانتظار.
في نفس الوقت ، يتم إرسال إشعار إلى المستخدم. بمجرد حل المشكلة ، يمكن إضافة طلب السحب مرة أخرى إلى قائمة الانتظار.
للحصول على نظرة عامة شاملة على حالة قائمة الانتظار ، يمكن للمطورين الوصول إلى صفحة تفاصيل قائمة الانتظار عبر الفروع أو صفحة طلب السحب. تقدم هذه الصفحة لمحة عن طلبات السحب في قائمة الانتظار ، جنبًا إلى جنب مع حالة كل منها ، بما في ذلك فحوصات الحالة المطلوبة والوقت المقدر للدمج.
كما يقدم رؤى حول عدد طلبات السحب المدمجة ، ويتتبع الاتجاهات على مدار الثلاثين يومًا الماضية.
حماية أفضل للكود من خلال مفاتيح المرور
قال Singhal من GitHub إن معظم الانتهاكات الأمنية ناتجة عن هجمات غير مكلفة وشائعة ، بما في ذلك الهندسة الاجتماعية وسرقة بيانات الاعتماد والتسريب. يؤكد ذلك80٪ من خروقات البياناتتنسب إلى كلمات المرور.
قدمت الشركة ميزة مفاتيح المرور الخاصة بها ردًا على ذلك. يعزز هذا أمان حساب المطورين مع ضمان تجربة مستخدم سلسة. كانت المنصة قد نفذت في وقت سابق مبادرة 2FA ؛ الآن توسع جهودها أكثر من خلال إدخال مصادقة مفتاح المرور على GitHub.com.
“سرقة كلمة المرور أو الرموز المميزة هي السبب الرئيسي لعمليات الاستحواذ على الحساب (ATO). يوفر GitHub مسحًا سريًا للبحث عن الأسرار المسربة (مثل كلمات المرور أو الرموز المميزة) لتقليل السرقة ، ويمنحنا الأمان المعزز من مفاتيح المرور طريقة قوية لمنع سرقة كلمة المرور و ATO “.
أكد Singhal أن مفاتيح المرور توفر مقاومة أكبر لـ التصيد محاولات أكثر مما تفعله كلمات المرور التقليدية ويصعب تخمينها بشكل ملحوظ.
“لا يتعين عليك تذكر أي شيء أيضًا – تقوم أجهزتك بذلك نيابة عنك وتتحقق من هويتك قبل أن تقوم بالمصادقة مع أي موقع ويب تقوم بالوصول إليه. لذا فهي بشكل عام أكثر أمانًا وأسهل في الاستخدام ويصعب خسارتها “.
حافظ على وصولك إذا فقدت هاتفك
قال إن السيناريو الشائع الذي يؤدي إلى فقدان الوصول إلى حساب GitHub هو كسر الهاتف أو استبداله. يحدث هذا الموقف المؤسف عندما يقوم المستخدم بإعداد 2FA على جهاز يتعطل لاحقًا ، مما يجعله غير قادر على استخدام أي أساليب 2FA متبقية ويتم إغلاق حسابه بشكل فعال.
تقدم مفاتيح المرور حلاً من خلال تمكين المزامنة عبر الأجهزة التي يتم تسهيلها بواسطة مزودي مفاتيح المرور ذوي السمعة الطيبة مثل iCloud و Dashlane و 1Password و Google و Microsoft.
أنشأ هؤلاء الموفرون وغيرهم أنظمة آمنة تضمن النقل السلس لمفاتيح المرور عبر الأجهزة وإلى السحابة. نتيجة لذلك ، لم يعد فقدان أو تلف جهاز واحد يعني فقدان مفتاح المرور بشكل دائم.
“على المستوى التقني ، تعد مفاتيح المرور زوج مفاتيح خاصًا وعامًا يتم إنشاؤه على أساس كل مجال. هذا يضمن ثلاثة أشياء: لا يوجد مفتاحا مرور متماثلان ؛ مقاومة التصيد وأوراق اعتماد مقاومة للاختراق “، أوضح سنغال. “الميزة الأساسية هي سهولة تسجيل الدخول إلى أجهزة جديدة دون المساس بأمان حسابك. يمكنك الحصول على مفتاح مرور على هاتفك واستخدامه لتسجيل الدخول إلى المكتبة ، على سبيل المثال ، دون اللجوء إلى بيانات الاعتماد الاحتياطية أو كلمة المرور الخاصة بك. “
تعتمد المصادقة الكلاسيكية عبر الأجهزة (CDA) في OAuth2 على تدفق رمز الجهاز ، مما يشكل ثغرة أمنية لإعادة الهجمات. في مثل هذه الهجمات ، يتلاعب المهاجم بالموقف عن طريق إعادة توجيه رمز الاستجابة السريعة أو رمز تسجيل الدخول للجهاز إلى الضحية. إذا استخدمت الضحية هذا الرمز لتسجيل الدخول ، فإنها تفوض جلسة المهاجم دون قصد.
مع مفاتيح المرور ، تتخذ CDA نهجًا مختلفًا. يقوم بإنشاء قناة آمنة ومخصصة مباشرة بين الجهازين المعنيين. تتيح هذه القناة الفريدة لجهاز واحد استخدام مفتاح المرور من جهاز آخر دون الكشف عن بيانات الاعتماد الفعلية.
وأكد Singhal أن التحديث الجديد يعزز أيضًا مقاومة محاولات التصيد الاحتيالي. يتم تحقيق ذلك من خلال جهاز المصادقة ، مثل الهاتف ، للتحقق من قرب الجهاز الطالب ، مثل جهاز كمبيوتر محمول.
وقال: “هذا يعني أن المهاجم لا يمكنه إعادة توجيه رمز الاستجابة السريعة QR الخاص بـ CDA إلى الضحية وجعله يستخدمه لتسجيل الدخول – سيقوم الهاتف بمسح رمز الاستجابة السريعة ضوئيًا ويبدأ في البحث عن جهاز الكمبيوتر الخاص بالمهاجم للاتصال به”. “ونظرًا لعدم وجودها ، تفشل المصادقة ، وكذلك الهجوم.”
مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.