En un esfuerzo por proteger aún más las cuentas de los desarrolladores y el código alojado en su plataforma, GitHub ha anunciado que sus usuarios deberán inscribirse en la autenticación de dos factores (2FA) para fines del próximo año.
Más específicamente, cualquier persona que contribuya con código en la plataforma propiedad de Microsoft deberá habilitar una o más formas de 2FA.
De acuerdo con un nuevo del blog del director de seguridad de GitHub, Mike Hanley, la cadena de suministro de software comienza con los desarrolladores, y las cuentas de los desarrolladores suelen ser el objetivo de la ingeniería social y la apropiación de cuentas. Al proteger a los desarrolladores de este tipo de ataques, la empresa está dando el primer y más importante paso para asegurar la cadena de suministro de software.
En el futuro, GitHub planea explorar nuevas formas de autenticar de forma segura a sus usuarios, incluida la autenticación sin contraseña. De hecho, el año pasado, la compañía agregó la capacidad de usar claves de seguridad para la autenticación como parte de sus esfuerzos para avanzar hacia un futuro sin contraseña.
Asegurar la cadena de suministro de software
En noviembre del año pasado, GitHub se comprometió con nuevas inversiones en la seguridad de la cuenta npm luego de las adquisiciones de paquetes npm que fueron el resultado de cuentas de desarrollador sin 2FA habilitado que se habían visto comprometidas.
Aunque las vulnerabilidades de día cero reciben mucha atención en línea, los ataques de menor costo, como la ingeniería social, el robo de credenciales o las filtraciones de datos, son los responsables de la mayoría de las violaciones de seguridad.
Las cuentas comprometidas en GitHub se pueden usar para robar código privado o incluso para impulsar cambios maliciosos en ese código. Desafortunadamente, no solo las personas y sus organizaciones asociadas con estas cuentas comprometidas están en riesgo, sino también los usuarios del código afectado.
La mejor defensa contra las cuentas de usuario comprometidas es ir más allá de la autenticación básica basada en contraseña. Sin embargo, solo el 16.5 % de todos los usuarios activos de GitHub en la actualidad y el 6.44 % de los usuarios de npm usan una o más formas de 2FA.
Los usuarios de GitHub tienen mucho tiempo para prepararse para este cambio y la compañía lanzó recientemente 2FA para GitHub móvil en iOS y Android. Aquellos interesados en aprender a configurar GitHub Mobile 2FA pueden consultar este documento de soporte para comenzar.