В опит да защити допълнително акаунтите на разработчиците и кода, хостван на неговата платформа, GitHub обяви, че неговите потребители ще трябва да се запишат в двуфакторна автентификация (2FA) до края на следващата година.
По-конкретно, всеки, който допринася с код на платформата, собственост на Microsoft, ще трябва да активира една или повече форми на 2FA.
Според ново блог пост от главния директор по сигурността на GitHub Майк Ханли, веригата за доставка на софтуер започва с разработчици и акаунтите на разработчиците често са насочени от социалното инженерство и поглъщането на акаунти. Като защитава разработчиците от тези видове атаки, компанията прави първата и най-критична стъпка към осигуряване на веригата за доставка на софтуер.
В бъдеще GitHub планира да проучи нови начини за сигурно удостоверяване на своите потребители, включително удостоверяване без парола. Всъщност само миналата година компанията добави възможността да използва ключове за сигурност за удостоверяване като част от усилията си да премине към бъдеще без пароли.
Осигуряване на веригата за доставка на софтуер
Още през ноември миналата година GitHub се ангажира с нови инвестиции в сигурността на npm акаунти след поглъщане на пакети npm, които бяха резултат от акаунти на разработчици без активирана 2FA, които бяха компрометирани.
Въпреки че уязвимостите с нулев ден привличат много внимание онлайн, атаки с по-ниска цена като социално инженерство, кражба на идентификационни данни или течове на данни всъщност са отговорни за повечето пробиви в сигурността.
Компрометираните акаунти в GitHub могат да се използват за кражба на частен код или дори за прокарване на злонамерени промени в този код. За съжаление, не само лицата и техните организации, свързани с тези компрометирани акаунти, са изложени на риск, но и всички потребители на засегнатия код.
Най-добрата защита срещу компрометирани потребителски акаунти е преминаването отвъд основното удостоверяване, базирано на парола. Въпреки това, само 16.5% от всички активни потребители на GitHub днес и 6.44% от потребителите на npm използват една или повече форми на 2FA.
Потребителите на GitHub имат достатъчно време да се подготвят за тази промяна и компанията наскоро стартира 2FA за GitHub mobile на iOS и Android. Тези, които се интересуват да научат как да конфигурират GitHub Mobile 2FA, могат да разгледат този документ за поддръжка, за да започнат.