![Além dos chatbots: o vasto mundo dos embeddings](https://optimuscloud.com.br/wp-content/uploads/2024/01/Alem-dos-chatbots-o-vasto-mundo-dos-embeddings.webp.jpeg)
Além dos chatbots: o vasto mundo dos embeddings
18 de janeiro de 2024![Shift Robotics lança sapatos robóticos Moonwalkers X](https://optimuscloud.com.br/wp-content/uploads/2024/01/Shift-Robotics-lanca-sapatos-roboticos-Moonwalkers-X.jpg)
Shift Robotics lança sapatos robóticos Moonwalkers X
18 de janeiro de 2024O GitHub introduziu dois novos recursos para reforçar a segurança do desenvolvedor e melhorar a experiência de desenvolvimento.
Em uma versão beta pública, a plataforma foi revelada autenticação de senha, oferecendo aos usuários um método seguro e sem senha para acessar suas contas. As chaves de acesso substituem as senhas convencionais e os métodos de autenticação de dois fatores (2FA), proporcionando maior segurança e reduzindo o risco de violações de contas.
“As chaves de acesso oferecem a combinação mais forte de segurança e confiabilidade e tornam as contas significativamente mais seguras sem comprometer o acesso à conta, o que continua sendo um problema com outros métodos 2FA, como SMS, TOTP e chaves de segurança de dispositivo único existentes”, Hirsch Sighal, gerente de produtos da equipe do GitHub , disse ao VentureBeat. “Com nossa nova atualização, os desenvolvedores podem facilmente registrar uma chave de acesso em suas contas do GitHub e parar de usar uma senha para sempre.”
A plataforma também introduziu um novo recurso automatizado de gerenciamento de filiais conhecido como fila de mesclagem. Esse recurso permite que vários desenvolvedores confirmem código enquanto lida perfeitamente com solicitações pull que se alinham com alterações subsequentes. Caso ocorra algum problema, o desenvolvedor é alertado imediatamente.
Os engenheiros enfrentaram o desafio de se fundirem diretamente em uma filial movimentada, o que pode levar a conflitos de código e a um ciclo frustrante de retrabalho.
A fila de mesclagem do GitHub resolve esse problema criando uma ramificação temporária. Essa ramificação incorpora as alterações mais recentes da ramificação base, as alterações de outras solicitações pull já na fila e as alterações de novas solicitações pull.
A empresa afirma que essas atualizações priorizam a segurança do desenvolvedor e agilizam o processo de desenvolvimento, aumentando a reputação do GitHub como uma plataforma confiável e fácil de usar.
Simplificando a experiência do desenvolvedor por meio da fila de mesclagem
Antes do recurso de fila de mesclagem, os desenvolvedores muitas vezes se encontravam em um ciclo de atualização de suas ramificações de pull request antes da fusão. Esta etapa foi necessária para garantir que suas alterações não interromperiam a ramificação do código principal após a fusão.
A cada atualização, uma nova rodada de verificações de integração contínua (CI) precisava ser concluída antes que o desenvolvedor pudesse prosseguir com a fusão. Além disso, se outra solicitação pull fosse mesclada, cada desenvolvedor teria que repetir todo o processo.
Para simplificar e automatizar esse fluxo de trabalho, a fila de mesclagem orquestra sistematicamente a mesclagem de solicitações pull de código. Cada solicitação pull na fila é criada em conjunto com as solicitações pull anteriores.
Quando a solicitação pull de um usuário é direcionada a uma ramificação usando a fila de mesclagem, o usuário pode adicioná-la à fila clicando em “mesclar quando estiver pronto” na página da solicitação pull ou por meio do GitHub Mobile, assim que atender aos requisitos para mesclagem.
Esta ação cria uma ramificação temporária dentro da fila, abrangendo as alterações mais recentes da ramificação base, as alterações de outras solicitações pull já na fila e as alterações da solicitação pull do usuário.
Se uma solicitação pull na fila encontrar conflitos de mesclagem ou falhar em qualquer verificação de status obrigatória, ela será automaticamente removida da fila ao chegar ao início da fila.
Simultaneamente, uma notificação é enviada ao usuário. Depois que o problema for resolvido, a solicitação pull poderá ser adicionada de volta à fila.
Para uma visão geral abrangente do status da fila, os desenvolvedores podem acessar a página de detalhes da fila por meio das ramificações ou da página de pull request. Esta página fornece uma visão geral das solicitações pull na fila, juntamente com o status de cada uma, incluindo as verificações de status necessárias e um tempo estimado para a fusão.
Ele também oferece insights sobre o número de solicitações pull mescladas e rastreia tendências nos últimos 30 dias.
Melhor proteção de código por meio de chaves de acesso
Singhal, do GitHub, disse que a maioria das violações de segurança resulta de ataques comuns e baratos, incluindo engenharia social, roubo e vazamento de credenciais. Ele afirma que mais de 80% das violações de dados são atribuíveis a senhas.
A empresa introduziu seu recurso de chaves de acesso em resposta. Isso reforça a segurança da conta dos desenvolvedores e, ao mesmo tempo, garante uma experiência de usuário perfeita. A plataforma já havia implementado uma iniciativa 2FA; agora expande ainda mais seus esforços com a introdução da autenticação por chave de acesso no GitHub.com.
“O roubo de senhas ou tokens é a principal causa de invasão de contas (ATO). O GitHub oferece verificação secreta para verificar segredos vazados (como senhas ou tokens) para reduzir o roubo, e a segurança aprimorada das chaves de acesso nos dá uma maneira forte de evitar roubo de senhas e ATO”, disse Singhal ao VentureBeat.
Singhal enfatizou que as chaves de acesso oferecem maior resistência a tentativas de phishing do que as senhas tradicionais e são significativamente mais difíceis de adivinhar.
“Você também não precisa se lembrar de nada – seus dispositivos fazem isso por você e verificam sua identidade antes de se autenticarem em qualquer site que você esteja acessando. Portanto, geralmente são mais seguros, mais fáceis de usar e mais difíceis de perder”, acrescentou.
Mantenha seu acesso se você perder seu telefone
Ele disse que um cenário comum que leva à perda de acesso a uma conta GitHub é a quebra ou substituição de um telefone. Essa situação infeliz ocorre quando um usuário configura 2FA em um dispositivo que posteriormente apresenta mau funcionamento, deixando-o incapaz de usar quaisquer métodos 2FA restantes e efetivamente bloqueado de sua conta.
As chaves de acesso oferecem uma solução ao permitir a sincronização entre dispositivos facilitada por provedores de chaves de acesso confiáveis, como iCloud, Dashlane, 1Password, Google e Microsoft.
Esses provedores e outros estabeleceram sistemas seguros que garantem a transferência perfeita de chaves de acesso entre dispositivos e para a nuvem. Como resultado, a perda ou dano a um único dispositivo não significa mais a perda permanente da chave de acesso.
“Em um nível técnico, as chaves de acesso são um par de chaves público-privado gerado por domínio. Isso garante três coisas: não há duas chaves de acesso iguais; resistência a phishing; e credenciais à prova de hackers”, explicou Singhal. “O principal benefício é a facilidade de fazer login em novos dispositivos sem comprometer a segurança da sua conta. Você pode ter uma senha no seu telefone e usá-la para fazer login na biblioteca, por exemplo, sem recorrer a credenciais de backup ou senha.”
A autenticação clássica entre dispositivos (CDA) no OAuth2 depende do fluxo de código do dispositivo, o que representa uma vulnerabilidade a ataques de repetição. Nesses ataques, um invasor manipula a situação encaminhando um código QR ou código de login do dispositivo para a vítima. Se a vítima usar esse código para fazer login, ela autorizará a sessão do invasor involuntariamente.
Com as chaves de acesso, o CDA adota uma abordagem diferente. Estabelece um canal seguro e dedicado diretamente entre os dois dispositivos envolvidos. Este canal exclusivo permite que um dispositivo use a chave de acesso de outro sem expor as credenciais reais.
Singhal enfatizou que a nova atualização também aumenta a resistência a tentativas de phishing. Isto é conseguido através do dispositivo de autenticação, como um telefone, verificando a proximidade do dispositivo solicitante, como um laptop.
“Isso significa que um invasor não pode encaminhar o código QR do CDA para uma vítima e fazer com que ela o use para fazer login – o telefone irá escanear o código QR e começar a procurar o computador do invasor para se conectar”, disse ele. “E como não está lá, a autenticação falha, e o ataque também.”
A missão da VentureBeat é ser uma praça digital para os tomadores de decisões técnicas obterem conhecimento sobre tecnologia empresarial transformadora e realizarem transações. Conheça nossos Briefings.