I et forsøg på yderligere at sikre udviklerkonti og kode, der er hostet på sin platform, har GitHub annonceret, at dets brugere bliver nødt til at tilmelde sig tofaktorautentificering (2FA) inden udgangen af næste år.
Mere specifikt skal enhver, der bidrager med kode på den Microsoft-ejede platform, aktivere en eller flere former for 2FA.
Ifølge en ny blogindlæg fra GitHubs sikkerhedschef Mike Hanley starter softwareforsyningskæden med udviklere, og udviklerkonti er ofte målrettet af social engineering og kontoovertagelse. Ved at beskytte udviklere mod disse typer angreb tager virksomheden det første og mest kritiske skridt mod at sikre softwareforsyningskæden.
Fremover planlægger GitHub at udforske nye måder til sikker autentificering af sine brugere, herunder adgangskodefri godkendelse. Faktisk tilføjede virksomheden netop sidste år muligheden for at bruge sikkerhedsnøgler til godkendelse som en del af dets bestræbelser på at bevæge sig mod en fremtid uden adgangskode.
Sikring af softwareforsyningskæden
Tilbage i november sidste år forpligtede GitHub sig til nye investeringer i npm-kontosikkerhed efter npm-pakkeovertagelser, der var resultatet af udviklerkonti uden 2FA aktiveret, som var blevet kompromitteret.
Selvom nul-dages sårbarheder får meget opmærksomhed online, er billigere angreb såsom social engineering, legitimationstyveri eller datalæk faktisk ansvarlige for de fleste sikkerhedsbrud.
Kompromitterede konti på GitHub kan bruges til at stjæle privat kode eller endda til at skubbe ondsindede ændringer til denne kode. Desværre er ikke kun enkeltpersoner og deres organisationer forbundet med disse kompromitterede konti i fare, men også alle brugere af den berørte kode.
Det bedste forsvar mod kompromitterede brugerkonti er at bevæge sig ud over grundlæggende adgangskodebaseret godkendelse. Men kun 16.5 procent af alle aktive GitHub-brugere i dag og 6.44 procent af npm-brugere bruger en eller flere former for 2FA.
GitHub-brugere har masser af tid til at forberede sig på denne ændring, og virksomheden lancerede for nylig 2FA til GitHub-mobil på iOS og Android. De, der er interesserede i at lære at konfigurere GitHub Mobile 2FA, kan tjekke dette supportdokument for at komme i gang.