GitHub در تلاشی برای امنیت بیشتر حسابهای توسعهدهنده و کد میزبانی شده در پلتفرم خود، اعلام کرده است که کاربرانش باید تا پایان سال آینده در احراز هویت دو عاملی (2FA) ثبتنام کنند.
به طور خاص، هر کسی که کدی را در پلتفرم متعلق به مایکروسافت ارائه میکند، باید یک یا چند فرم از 2FA را فعال کند.
با توجه به جدید پست های وبلاگ از مایک هانلی، مدیر ارشد امنیت GitHub، زنجیره تامین نرم افزار با توسعه دهندگان شروع می شود و حساب های توسعه دهنده اغلب توسط مهندسی اجتماعی و تصاحب حساب ها هدف قرار می گیرند. با محافظت از توسعه دهندگان در برابر این نوع حملات، این شرکت اولین و حیاتی ترین گام را در جهت ایمن سازی زنجیره تامین نرم افزار برمی دارد.
در آینده، GitHub قصد دارد راه های جدیدی برای احراز هویت ایمن کاربران خود از جمله احراز هویت بدون رمز عبور را بررسی کند. در واقع، همین سال گذشته، این شرکت توانایی استفاده از کلیدهای امنیتی برای احراز هویت را به عنوان بخشی از تلاش های خود برای حرکت به سمت آینده بدون رمز عبور اضافه کرد.
ایمن سازی زنجیره تامین نرم افزار
در نوامبر سال گذشته، GitHub متعهد به سرمایهگذاریهای جدید در امنیت حساب npm پس از تصاحب بستههای npm بود که نتیجه اکانتهای توسعهدهنده بدون فعالسازی 2FA بود که به خطر افتاده بود.
اگرچه آسیبپذیریهای روز صفر توجه زیادی را به صورت آنلاین به خود جلب میکنند، حملات کمهزینهتر مانند مهندسی اجتماعی، سرقت اعتبار یا نشت دادهها در واقع مسئول بیشتر نقضهای امنیتی هستند.
حسابهای در معرض خطر در GitHub میتوانند برای سرقت کد خصوصی یا حتی اعمال تغییرات مخرب در آن کد استفاده شوند. متأسفانه، نه تنها افراد و سازمانهای مرتبط با این حسابهای در معرض خطر، بلکه کاربران کد آسیبدیده نیز در معرض خطر هستند.
بهترین دفاع در برابر حساب های کاربری به خطر افتاده فراتر از احراز هویت اولیه مبتنی بر رمز عبور است. با این حال، امروزه تنها 16.5 درصد از تمام کاربران فعال GitHub و 6.44 درصد از کاربران npm از یک یا چند فرم از 2FA استفاده می کنند.
کاربران GitHub زمان زیادی برای آماده شدن برای این تغییر دارند و این شرکت اخیراً 2FA را برای موبایل GitHub در iOS و Android راه اندازی کرده است. کسانی که علاقه مند به یادگیری نحوه پیکربندی GitHub Mobile 2FA هستند، می توانند برای شروع این سند پشتیبانی را بررسی کنند.