في محاولة لتأمين المزيد من حسابات المطورين والكود المستضاف على نظامها الأساسي ، أعلنت GitHub أن مستخدميها سيحتاجون إلى التسجيل في المصادقة الثنائية (2FA) بحلول نهاية العام المقبل.
وبشكل أكثر تحديدًا ، سيحتاج أي شخص يساهم في التعليمات البرمجية على النظام الأساسي المملوك لشركة Microsoft إلى تمكين شكل واحد أو أكثر من أشكال المصادقة الثنائية (2FA).
وفقا ل جديد بلوق وظيفة من مايك هانلي ، كبير مسؤولي الأمن في GitHub ، تبدأ سلسلة إمداد البرامج بالمطورين ويتم استهداف حسابات المطورين بشكل متكرر عن طريق الهندسة الاجتماعية والاستحواذ على الحساب. من خلال حماية المطورين من هذه الأنواع من الهجمات ، تتخذ الشركة الخطوة الأولى والأكثر أهمية نحو تأمين سلسلة توريد البرامج.
من الآن فصاعدًا ، تخطط GitHub لاستكشاف طرق جديدة لمصادقة مستخدميها بأمان بما في ذلك المصادقة بدون كلمة مرور. في الواقع ، في العام الماضي فقط ، أضافت الشركة القدرة على استخدام مفاتيح الأمان للمصادقة كجزء من جهودها للتحرك نحو مستقبل بدون كلمة مرور.
تأمين سلسلة توريد البرمجيات
مرة أخرى في نوفمبر من العام الماضي ، التزمت GitHub باستثمارات جديدة في أمان حساب npm بعد عمليات الاستحواذ على حزمة npm التي كانت نتيجة حسابات المطور دون تمكين المصادقة الثنائية (2FA) التي تم اختراقها.
على الرغم من أن ثغرات يوم الصفر تحظى بقدر كبير من الاهتمام عبر الإنترنت ، إلا أن الهجمات منخفضة التكلفة مثل الهندسة الاجتماعية أو سرقة بيانات الاعتماد أو تسريب البيانات هي المسؤولة في الواقع عن معظم الانتهاكات الأمنية.
يمكن استخدام الحسابات المخترقة على GitHub لسرقة التعليمات البرمجية الخاصة أو حتى لدفع التغييرات الضارة إلى هذا الرمز. لسوء الحظ ، ليس الأفراد ومؤسساتهم المرتبطون بهذه الحسابات المخترقة فقط في خطر ، ولكن أيضًا أي مستخدمين للشفرة المتأثرة.
أفضل دفاع ضد حسابات المستخدمين المخترقة هو تجاوز المصادقة الأساسية المستندة إلى كلمة المرور. ومع ذلك ، فإن 16.5 بالمائة فقط من جميع مستخدمي GitHub النشطين اليوم و 6.44 بالمائة من مستخدمي npm يستخدمون نموذجًا واحدًا أو أكثر من 2FA.
لدى مستخدمي GitHub متسع من الوقت للاستعداد لهذا التغيير وقد أطلقت الشركة مؤخرًا 2FA لـ GitHub mobile على iOS و Android. يمكن للمهتمين بمعرفة كيفية تكوين GitHub Mobile 2FA التحقق من مستند الدعم هذا للبدء.