GitHub on ilmoittanut, että sen käyttäjien on rekisteröidyttävä kaksivaiheiseen autentikointiin (2FA) ensi vuoden loppuun mennessä suojatakseen edelleen kehittäjätilejä ja alustallaan isännöityä koodia.
Tarkemmin sanottuna jokaisen, joka lähettää koodia Microsoftin omistamalle alustalle, on otettava käyttöön yksi tai useampi 2FA-muoto.
Mukaan uusi blogi GitHubin tietoturvajohtaja Mike Hanley sanoi, että ohjelmistojen toimitusketju alkaa kehittäjistä, ja kehittäjätilet ovat usein sosiaalisen manipuloinnin ja tilien haltuunoton kohteena. Suojaamalla kehittäjiä tämäntyyppisiltä hyökkäyksiltä yritys ottaa ensimmäisen ja kriittisimmän askeleen turvatakseen ohjelmistojen toimitusketjun.
Jatkossa GitHub aikoo tutkia uusia tapoja todentaa käyttäjänsä turvallisesti, mukaan lukien salasanaton todennus. Itse asiassa vasta viime vuonna yritys lisäsi mahdollisuuden käyttää suojausavaimia todentamiseen osana pyrkimyksiään siirtyä kohti salasanatonta tulevaisuutta.
Ohjelmiston toimitusketjun turvaaminen
Viime vuoden marraskuussa GitHub sitoutui uusiin investointeihin npm-tilin turvallisuuteen npm-pakettien haltuunottojen jälkeen, jotka johtuivat vaarantuneista kehittäjätileistä, joissa 2FA ei ollut käytössä.
Vaikka nollapäivän haavoittuvuudet saavat paljon huomiota verkossa, halvemmat hyökkäykset, kuten sosiaalinen manipulointi, tunnistetietojen varkaudet tai tietovuodot, ovat itse asiassa vastuussa useimmista tietoturvaloukkauksista.
GitHubin vaarantuneita tilejä voidaan käyttää yksityisen koodin varastamiseen tai jopa haitallisten muutosten tekemiseen kyseiseen koodiin. Valitettavasti näihin vaarantuneisiin tileihin liittyvät yksilöt ja heidän organisaationsa eivät ole vaarassa, vaan myös kaikki koodin käyttäjät.
Paras suoja vaarantuneita käyttäjätilejä vastaan on siirtyminen perussalasanoihin perustuvaa todennusta pidemmälle. Kuitenkin vain 16.5 prosenttia kaikista aktiivisista GitHubin käyttäjistä nykyään ja 6.44 prosenttia npm-käyttäjistä käyttää yhtä tai useampaa 2FA-muotoa.
GitHub-käyttäjillä on runsaasti aikaa valmistautua tähän muutokseen, ja yritys julkaisi äskettäin 2FA:n GitHub-mobiililaitteille iOS:ssä ja Androidissa. GitHub Mobile 2FA:n määrittämisestä kiinnostuneet voivat tutustua tähän tukiasiakirjaan aloittaaksesi.