Можно ли сказать, был ли релиз, опубликованный в репозитории GitHub, кем-то, кто вошел в систему с 2FA?
Причина, по которой мы спрашиваем, состоит в том, что у нас есть инструмент, который интегрирует релизы GitHub (от репозитории, сделанные другими людьми, ie, не входящими в нашу организацию GitHub), могут автоматически обновляться до последней версии.
Хотя автоматическое обновление удобно для пользователя, если кто-то похитит учетные данные этого пользователя GitHub (поскольку они не используют 2FA), то автоматическое обновление может в конечном итоге установить вредоносный код. Этот сценарий произошел с npmjs.
. Было бы полезно определить, что релиз был сделан кем-то, кто не использует 2FA, и предупредить, что релиз может быть «небезопасным».
Наше приложение является частью Qooxdoo http://www.qooxdoo.org, который является Javascript средой разработки с открытым исходным кодом.