今年2 月，GitHub 宣布Top-100 npm 包維護者要求啟用2FA（雙因素身份認證）；今年5 月，GitHub 要求所有貢獻代碼的用戶在2023年底前啟用2FA；現在，GitHub 將這項要求進一步擴大到Top-500 npm 包維護者。

在GitHub 官方博文中寫道：“按照依賴使用熱度，在npm 庫上對top-500 包的維護者現強制要求啟動雙因素認證”。本月初，GitHub 表示只有16.5% 的GitHub 活躍用戶和6.44% 的npm 用戶使用2FA。坦白說，這樣的用戶比例是偏低的。

GitHub 的首席安全官Mike Hanley 表示：“被破壞的賬戶可以被用來竊取未公開的私人代碼或對該代碼進行惡意修改。這不僅使與被入侵賬戶相關的個人和組織面臨風險，而且也使受影響代碼的任何用戶面臨風險。因此，對更廣泛的軟件生態系統和供應鏈產生下游影響的可能性是很大的”。

GitHub 在2021 年12 月7 日至2022 年1 月4 日之間首次推出了增強登錄驗證。GitHub 目標將讓所有npm 發布者加入增強的登錄驗證，在現在擴大到top-500 npm 包維護者之後，GitHub 的下一步是再擴大到所有依賴超過500 或者每週下載量超過100 萬的軟件包。

根據在此初始階段的調查結果，GitHub 計劃在2022 年3 月1 日為所有npm 帳戶註冊增強登錄驗證。我們將在2 月16 日和2 月23 日發布之前運行兩個限制日期，我們將在24 小時內臨時選擇所有帳戶，以確保在我們為所有客戶永久推出此功能時不會出現意外。要了解有關增強登錄驗證的更多信息，您可以訪問我們的文檔。