Ve snaze dále zabezpečit vývojářské účty a kód hostovaný na jeho platformě GitHub oznámil, že jeho uživatelé se budou muset do konce příštího roku zaregistrovat do dvoufaktorové autentizace (2FA).
Přesněji řečeno, každý, kdo přispívá kódem na platformě vlastněné společností Microsoft, bude muset povolit jednu nebo více forem 2FA.
Podle nového blogu od hlavního bezpečnostního ředitele GitHubu Mikea Hanleyho, dodavatelský řetězec softwaru začíná vývojáři a vývojářské účty jsou často terčem sociálního inženýrství a převzetí účtů. Ochranou vývojářů před těmito typy útoků podniká společnost první a nejdůležitější krok k zabezpečení dodavatelského řetězce softwaru.
V budoucnu GitHub plánuje prozkoumat nové způsoby bezpečného ověřování svých uživatelů, včetně ověřování bez hesla. Ve skutečnosti jen v loňském roce společnost přidala možnost používat bezpečnostní klíče pro autentizaci jako součást svého úsilí posunout se směrem k budoucnosti bez hesel.
Zabezpečení dodavatelského řetězce softwaru
V listopadu loňského roku se GitHub zavázal k novým investicím do zabezpečení účtu npm po převzetí balíčků npm, které bylo výsledkem kompromitovaných účtů vývojářů bez povolených 2FA.
Přestože zranitelnosti zero-day přitahují velkou pozornost online, za většinu narušení bezpečnosti jsou ve skutečnosti zodpovědné levnější útoky, jako je sociální inženýrství, krádeže přihlašovacích údajů nebo úniky dat.
Kompromitované účty na GitHubu lze použít ke krádeži soukromého kódu nebo dokonce k vložení škodlivých změn do tohoto kódu. Bohužel nejsou ohroženi pouze jednotlivci a jejich organizace spojené s těmito napadenými účty, ale také všichni uživatelé dotčeného kódu.
Nejlepší obranou proti kompromitovaným uživatelským účtům je posun nad rámec základního ověřování založeného na hesle. Avšak pouze 16.5 procenta všech aktivních uživatelů GitHubu dnes a 6.44 procenta uživatelů npm používá jednu nebo více forem 2FA.
Uživatelé GitHubu mají spoustu času se na tuto změnu připravit a společnost nedávno spustila 2FA pro mobilní GitHub na iOS a Android. Ti, kteří se chtějí naučit, jak nakonfigurovat GitHub Mobile 2FA, si mohou pro začátek prohlédnout tento dokument podpory.