GitHub是黑客的一个巨大目标，它的CEO认为抛弃密码会提高安全性

GitHub首席执行官Thomas Dohmke想摆脱密码。

开源软件多年来一直受到网络安全问题的困扰，而GitHub和该领域的其他公司一直在采取措施加强安全。然而，Dohmke知道，要从根本上解决整个行业的问题，需要的不仅仅是企业行动。它最终将需要在开发人员的工作方式上发生巨大变化和文化转变。

Dohmke于2021年11月被任命为首席执行官，接替之前公司的首席产品官Nat Friedman。在6月的多伦多碰撞技术会议上接受媒体采访时，他谈到了GitHub为打击软件漏洞和提高软件开发中最广泛使用的网站之一的安全性所做的事情。

开源社区目睹了针对软件供应链的各种攻击不断增加，而这些攻击往往是通过泄露密码实现的。GitHub还承载着数百万个人和企业开发者编写的代码，在软件如何被制造出来方面发挥着非常关键的作用，同时这也是黑客的一个高价值目标。

Dohmke认为，解决方案的一部分是完全摆脱密码。他告诉媒体，他希望GitHub在2025年之前完全没有密码。

他说，密码安全的第一步是转移到1Password这样的密码管理器。他说：”下一步是你从来没有真正管理过密码”。

Dohmke说，这将如何工作的一些选项包括魔法链接（发送到受信任的电子邮件账户的链接，用户将点击它来登录）以及面部或触摸ID。他承认：”这显然是一个艰难的步骤。该技术已经存在，但将其嵌入系统和流程中是一个挑战”。

在这期间，这个开源平台已经采取了措施来应对最近的网络攻击。它在今年5月宣布，到2023年，它将要求向存储库贡献代码的开发者在其存储库中使用双因素认证。目前，只有16.5%的GitHub用户设置了双因素认证。

Dohmke认为对双因素的抵制部分是一个文化问题。

他说，”我们一直在问自己，为什么这么少的GitHub用户利用了这个额外的安全功能。部分原因是不便的因素。许多人都很懒。另一部分是担心从一个手机过渡到另一个手机时失去第二个因素”。他把它比作人们对被锁在银行账户外的压力。

他还认为，这在某种程度上与网络安全的 “缺乏意识 “有关，以及建立这些系统以防止攻击是多么重要。世界上某些地方的一些开发者也可能无法使用双因素工具，特别是如果他们无法使用智能手机。

GitHub为加强安全所做的另一项投资是帮助开发者保护他们的代码免受漏洞影响。Dohmke说，这块难题涉及到克服开发者社区内的其他文化挑战，其中包括让开发者停止将秘密和密码放在他们的代码中，这是一种可能导致黑客攻击的 “坏做法”。

在他看来，GitHub和母公司微软现在的工作的很大一部分是对开发者进行最佳实践和安全主题的教育。Dohmke说，没有接受过这些主题教育的开发者，犯错误的可能性是其他开发者的五倍。他说：”这些做法对任何现代公司都很重要”。

在我们的采访中，这位首席执行官还谈到了迫在眉睫的经济衰退及其对GitHub的招聘和运营的潜在影响，并分享了他对混合工作和人才战争的看法。母公司微软已经放缓了某些部门的招聘，但除了季节性放缓外，GitHub并没有放缓自己的招聘工作。

他说：”在裁员或类似的事情上没有什么可宣布的，我也没有想到，但是，你知道，永远不要说永远。经济衰退迫在眉睫”。