Σε μια προσπάθεια να εξασφαλίσει περαιτέρω τους λογαριασμούς προγραμματιστών και τον κώδικα που φιλοξενείται στην πλατφόρμα του, το GitHub ανακοίνωσε ότι οι χρήστες του θα πρέπει να εγγραφούν στον έλεγχο ταυτότητας δύο παραγόντων (2FA) μέχρι το τέλος του επόμενου έτους.
Πιο συγκεκριμένα, όποιος συνεισφέρει κώδικα στην πλατφόρμα που ανήκει στη Microsoft θα πρέπει να ενεργοποιήσει μία ή περισσότερες μορφές 2FA.
Σύμφωνα με μια νέα ανάρτηση από τον επικεφαλής ασφαλείας του GitHub, Mike Hanley, η αλυσίδα εφοδιασμού λογισμικού ξεκινά με προγραμματιστές και οι λογαριασμοί προγραμματιστών αποτελούν συχνά στόχο κοινωνικής μηχανικής και εξαγοράς λογαριασμών. Προστατεύοντας τους προγραμματιστές από αυτούς τους τύπους επιθέσεων, η εταιρεία κάνει το πρώτο και πιο κρίσιμο βήμα προς την ασφάλεια της αλυσίδας εφοδιασμού λογισμικού.
Στο μέλλον, το GitHub σχεδιάζει να εξερευνήσει νέους τρόπους για τον ασφαλή έλεγχο ταυτότητας των χρηστών του, συμπεριλαμβανομένου του ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης. Στην πραγματικότητα, μόλις πέρυσι, η εταιρεία πρόσθεσε τη δυνατότητα χρήσης κλειδιών ασφαλείας για έλεγχο ταυτότητας ως μέρος των προσπαθειών της να προχωρήσει προς ένα μέλλον χωρίς κωδικό πρόσβασης.
Διασφάλιση της εφοδιαστικής αλυσίδας λογισμικού
Τον Νοέμβριο του περασμένου έτους, το GitHub δεσμεύτηκε σε νέες επενδύσεις στην ασφάλεια λογαριασμών npm μετά από εξαγορές πακέτων npm που ήταν αποτέλεσμα λογαριασμών προγραμματιστών χωρίς ενεργοποιημένο το 2FA που είχαν παραβιαστεί.
Αν και οι ευπάθειες zero-day προσελκύουν μεγάλη προσοχή στο διαδίκτυο, οι επιθέσεις χαμηλότερου κόστους, όπως η κοινωνική μηχανική, η κλοπή διαπιστευτηρίων ή οι διαρροές δεδομένων είναι στην πραγματικότητα υπεύθυνες για τις περισσότερες παραβιάσεις ασφάλειας.
Οι παραβιασμένοι λογαριασμοί στο GitHub μπορούν να χρησιμοποιηθούν για την κλοπή ιδιωτικού κώδικα ή ακόμα και για την προώθηση κακόβουλων αλλαγών σε αυτόν τον κώδικα. Δυστυχώς, κινδυνεύουν όχι μόνο τα άτομα και οι οργανισμοί τους που σχετίζονται με αυτούς τους παραβιασμένους λογαριασμούς, αλλά και οποιοσδήποτε χρήστης του επηρεαζόμενου κώδικα.
Η καλύτερη άμυνα έναντι των παραβιασμένων λογαριασμών χρηστών είναι η μετάβαση πέρα από τον βασικό έλεγχο ταυτότητας με κωδικό πρόσβασης. Ωστόσο, μόνο το 16.5 τοις εκατό όλων των ενεργών χρηστών του GitHub σήμερα και το 6.44 τοις εκατό των χρηστών npm χρησιμοποιούν μία ή περισσότερες μορφές 2FA.
Οι χρήστες του GitHub έχουν πολύ χρόνο για να προετοιμαστούν για αυτήν την αλλαγή και η εταιρεία κυκλοφόρησε πρόσφατα το 2FA για το GitHub για κινητά σε iOS και Android. Όσοι ενδιαφέρονται να μάθουν πώς να διαμορφώνουν το GitHub Mobile 2FA μπορούν να ανατρέξουν σε αυτό το έγγραφο υποστήριξης για να ξεκινήσουν.