安全廠商Watchful_IP在6月發現海康威視設備的RCE漏洞並通報，攻擊者可直接透過SSH連線繞過網頁驗證並接管設備，如今漏洞修補更新已釋出，並在9月中下旬揭露這項漏洞

這邊跟大家分享一下一個 GitHub 於 2021 的小更動

2020/08/13 之後， GitHub 將停止所有基於密碼的操作授權，這邊來談一下相關的影響及改動

# 改變內容
1. GitHub 將要使用 Token-based 的方式來取代原本密碼的認證系統，但是要注意的是這邊指的是相關應用程式的整合，你原生網頁登入都還是使用你的密碼

# 影響層面
1. CLI 方面你如果是使用 HTTPS 這個方式搭配帳號密碼來存取 GitHub
2. 任何第三方應用程式如果是基於帳號密碼來連動 GitHub 的，全部都會失效

# 不被影響的使用情境
1. 如果你本身已經有開啟兩階段 (2FA)認證，那你其實已經被要求使用 Token 或是 SSH 的方式來認證
2. 如果你是 GitHub App 的維護者，因為 GitHub App 本身就不支援密碼的認證，所以你不會受到影響
3. GitHub 企業版本用戶，對於地端自架環境不影響

# 時程
1. 2021/06/30 - 2021/07/28
這個階段是鼓勵所有受到影響的用戶與App趕緊進行修正以避免下個階段直接遇到不相容的問題，因此會暫時的要求所有操作都要使用 Git/SSH 來授權。
3. 2021/08/13
這個階段開始，所有 Git 相關操作都要基於 Token/SSH 兩種方式

# 該怎麼做
1. 對於開發人員來說，如果你本來有使用密碼來授權任何 GitHub 相關的操作，請立刻改為使用 Personal Access Token 或是 SSH key 的方式
2. 對於系統整合人員來說，請參閱 Authorizing OAuth Apps 相關的操作來修改

原文連結:
https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/