U nastojanju da dodatno osigura račune programera i kod koji se nalazi na svojoj platformi, GitHub je najavio da će njegovi korisnici morati da se upišu u dvofaktorsku autentifikaciju (2FA) do kraja sljedeće godine.
Preciznije, svako ko doprinosi kodu na platformi u vlasništvu Microsofta moraće da omogući jedan ili više oblika 2FA.
Prema novom blog post od GitHub-ovog glavnog službenika za sigurnost Mikea Hanleya, lanac nabavke softvera počinje od programera, a računi programera često su na meti društvenog inženjeringa i preuzimanja računa. Štiteći programere od ovih vrsta napada, kompanija poduzima prvi i najkritičniji korak ka osiguranju lanca nabavke softvera.
U budućnosti, GitHub planira istražiti nove načine sigurne provjere autentičnosti svojih korisnika, uključujući autentifikaciju bez lozinke. Zapravo, samo prošle godine, kompanija je dodala mogućnost korištenja sigurnosnih ključeva za autentifikaciju kao dio svojih napora da se krene ka budućnosti bez lozinke.
Osiguravanje lanca nabavke softvera
Još u novembru prošle godine, GitHub se obavezao na nova ulaganja u sigurnost npm naloga nakon preuzimanja npm paketa koja su bila rezultat kompromitovanih naloga programera bez omogućene 2FA.
Iako ranjivosti nultog dana privlače veliku pažnju na internetu, jeftiniji napadi kao što su društveni inženjering, krađa vjerodajnica ili curenje podataka zapravo su odgovorni za većinu sigurnosnih propusta.
Kompromitovani nalozi na GitHubu mogu se koristiti za krađu privatnog koda ili čak za unos zlonamernih promena u taj kod. Nažalost, nisu samo pojedinci i njihove organizacije povezane sa ovim kompromitovanim nalozima u opasnosti, već i svi korisnici ugroženog koda.
Najbolja odbrana od kompromitovanih korisničkih naloga je prevazilaženje osnovne provjere autentičnosti zasnovane na lozinki. Međutim, samo 16.5 posto svih aktivnih GitHub korisnika danas i 6.44 posto korisnika npm koristi jedan ili više oblika 2FA.
Korisnici GitHub-a imaju dovoljno vremena da se pripreme za ovu promjenu, a kompanija je nedavno lansirala 2FA za GitHub mobile na iOS i Android. Oni koji su zainteresovani da nauče kako da konfigurišu GitHub Mobile 2FA mogu da pogledaju ovaj dokument podrške za početak.