Каб яшчэ больш абараніць уліковыя запісы распрацоўшчыкаў і код, размешчаны на яго платформе, GitHub абвясціў, што яго карыстальнікам трэба будзе зарэгістравацца ў двухфактарнай аўтэнтыфікацыі (2FA) да канца наступнага года.
Дакладней, кожны, хто дадае код на платформу, якая належыць Microsoft, павінен будзе ўключыць адну або некалькі формаў 2FA.
У адпаведнасці з новым блог ад галоўнага супрацоўніка службы бяспекі GitHub Майка Хэнлі, ланцужок паставак праграмнага забеспячэння пачынаецца з распрацоўшчыкаў, а ўліковыя запісы распрацоўшчыкаў часта становяцца мішэнню сацыяльнай інжынерыі і захопу ўліковых запісаў. Абараняючы распрацоўшчыкаў ад такіх тыпаў нападаў, кампанія робіць першы і самы важны крок да забеспячэння бяспекі ланцужка паставак праграмнага забеспячэння.
У далейшым GitHub плануе вывучыць новыя спосабы бяспечнай аўтэнтыфікацыі сваіх карыстальнікаў, уключаючы аўтэнтыфікацыю без пароля. Фактычна, толькі ў мінулым годзе кампанія дадала магчымасць выкарыстоўваць ключы бяспекі для аўтэнтыфікацыі ў рамках сваіх намаганняў па прасоўванні да будучыні без пароляў.
Папулярны ў цяперашні час
Бяспека ланцужка паставак праграмнага забеспячэння
Яшчэ ў лістападзе мінулага года GitHub абавязаўся зрабіць новыя інвестыцыі ў бяспеку ўліковых запісаў npm пасля паглынання пакетаў npm, якія сталі вынікам узлому ўліковых запісаў распрацоўшчыкаў без уключанай 2FA.
Нягледзячы на тое, што ўразлівасці нулявога дня прыцягваюць вялікую ўвагу ў інтэрнэце, менш затратныя атакі, такія як сацыяльная інжынерыя, крадзеж уліковых дадзеных або ўцечка даных, на самай справе адказныя за большасць парушэнняў бяспекі.
Скампраметаваныя ўліковыя запісы на GitHub могуць быць выкарыстаны для крадзяжу прыватнага кода або нават для ўвядзення шкоднасных змяненняў у гэты код. На жаль, пад пагрозай знаходзяцца не толькі асобы і іх арганізацыі, звязаныя з гэтымі ўзламанымі ўліковымі запісамі, але і любыя карыстальнікі пашкоджанага кода.
Лепшая абарона ад узламаных уліковых запісаў карыстальнікаў - гэта выхад за рамкі базавай аўтэнтыфікацыі на аснове пароля. Аднак толькі 16.5 працэнта ўсіх актыўных карыстальнікаў GitHub сёння і 6.44 працэнта карыстальнікаў npm выкарыстоўваюць адну або некалькі формаў 2FA.
У карыстальнікаў GitHub ёсць дастаткова часу, каб падрыхтавацца да гэтых змен, і кампанія нядаўна запусціла 2FA для мабільных прылад GitHub на iOS і Android. Тыя, хто зацікаўлены даведацца, як наладзіць GitHub Mobile 2FA, могуць азнаёміцца з гэтым дакументам падтрымкі, каб пачаць.