Püüdes oma platvormil hostitud arendajakontosid ja koodi veelgi kaitsta, on GitHub teatanud, et selle kasutajad peavad järgmise aasta lõpuks registreeruma kahefaktorilises autentimises (2FA).
Täpsemalt peavad kõik, kes lisavad koodi Microsoftile kuuluvale platvormile, lubama ühe või mitu 2FA vormi.
Vastavalt uue blogi postitus GitHubi turvajuhi Mike Hanley sõnul algab tarkvara tarneahel arendajatest ning arendajakontod on sageli sotsiaalse korralduse ja kontode ülevõtmise sihiks. Kaitstes arendajaid seda tüüpi rünnakute eest, astub ettevõte esimese ja kõige kriitilisema sammu tarkvara tarneahela turvalisuse suunas.
Edaspidi plaanib GitHub uurida uusi viise oma kasutajate turvaliseks autentimiseks, sealhulgas paroolita autentimiseks. Tegelikult lisas ettevõte just eelmisel aastal paroolivaba tuleviku poole liikumiseks võimaluse kasutada autentimiseks turvavõtmeid.
Tarkvara tarneahela turvamine
Eelmise aasta novembris pühendus GitHub uutele investeeringutele npm-konto turvalisusesse pärast npm-pakettide ülevõtmist, mis tulenesid 2FA-d lubamata arendajakontodest, mis olid ohustatud.
Kuigi nullpäeva haavatavused saavad võrgus palju tähelepanu, põhjustavad enamiku turvarikkumiste eest odavamad rünnakud, nagu sotsiaalne manipuleerimine, volikirjade vargused või andmelekked.
GitHubi ohustatud kontosid saab kasutada privaatkoodi varastamiseks või isegi sellesse koodi pahatahtlike muudatuste tegemiseks. Kahjuks ei ole ohus mitte ainult nende ohustatud kontodega seotud üksikisikud ja nende organisatsioonid, vaid ka kõik mõjutatud koodi kasutajad.
Parim kaitse ohustatud kasutajakontode vastu on liikuda põhilisest paroolipõhisest autentimisest kaugemale. Kuid ainult 16.5 protsenti kõigist aktiivsetest GitHubi kasutajatest täna ja 6.44 protsenti npm kasutajatest kasutavad üht või mitut 2FA vormi.
GitHubi kasutajatel on selleks muudatuseks valmistumiseks piisavalt aega ja ettevõte käivitas hiljuti 2FA GitHubi mobiili jaoks iOS-is ja Androidis. Need, kes on huvitatud GitHub Mobile 2FA konfigureerimise õppimisest, saavad alustamiseks vaadata seda tugidokumenti.