是否可以判断发布在GitHub存储库上的发行版是否由使用2FA登录的人制作?
问的原因是我们有一个工具可以将GitHub版本(由其他人创建的回购,即不是我们GitHub组织的一部分)集成到应用程序中,并且能够自动更新到最新版本。
尽管自动更新对用户友好,但是如果有人要窃取该GitHub用户的凭据(因为他们不使用2FA),那么自动更新最终可能会安装恶意制作的代码。这种情况发生在npmjs。
能够识别出该释放是由不使用2FA的人发出的,并警告该释放可能是“不安全的”。
我们的应用程序是Qooxdoo http://www.qooxdoo.org(它是一个开放源Javascript开发框架)的一部分。