अपने प्लेटफॉर्म पर होस्ट किए गए डेवलपर खातों और कोड को और सुरक्षित करने के प्रयास में, गिटहब ने घोषणा की है कि उसके उपयोगकर्ताओं को अगले साल के अंत तक दो कारक प्रमाणीकरण (2FA) में नामांकन करने की आवश्यकता होगी।
अधिक विशेष रूप से, जो कोई भी Microsoft के स्वामित्व वाले प्लेटफ़ॉर्म पर कोड का योगदान देता है, उसे 2FA के एक या अधिक रूपों को सक्षम करने की आवश्यकता होगी।
एक नए के अनुसार ब्लॉग पोस्ट गिटहब के मुख्य सुरक्षा अधिकारी माइक हैनली से, सॉफ्टवेयर आपूर्ति श्रृंखला डेवलपर्स के साथ शुरू होती है और डेवलपर खातों को अक्सर सोशल इंजीनियरिंग और खाता अधिग्रहण द्वारा लक्षित किया जाता है। डेवलपर्स को इस प्रकार के हमलों से बचाकर, कंपनी सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करने की दिशा में पहला और सबसे महत्वपूर्ण कदम उठा रही है।
आगे बढ़ते हुए, GitHub ने पासवर्ड रहित प्रमाणीकरण सहित अपने उपयोगकर्ताओं को सुरक्षित रूप से प्रमाणित करने के नए तरीके तलाशने की योजना बनाई है। वास्तव में, पिछले साल ही, कंपनी ने पासवर्ड रहित भविष्य की ओर बढ़ने के अपने प्रयासों के हिस्से के रूप में प्रमाणीकरण के लिए सुरक्षा कुंजियों का उपयोग करने की क्षमता को जोड़ा।
सॉफ्टवेयर आपूर्ति श्रृंखला को सुरक्षित करना
पिछले साल नवंबर में वापस, GitHub ने npm पैकेज अधिग्रहण के बाद npm खाता सुरक्षा में नए निवेश के लिए प्रतिबद्ध किया, जो कि 2FA सक्षम किए बिना डेवलपर खातों का परिणाम था जिसे समझौता किया गया था।
हालाँकि, शून्य-दिन की कमजोरियों पर ऑनलाइन बहुत ध्यान दिया जाता है, लेकिन कम लागत वाले हमले जैसे कि सोशल इंजीनियरिंग, क्रेडेंशियल चोरी या डेटा लीक वास्तव में अधिकांश सुरक्षा उल्लंघनों के लिए जिम्मेदार हैं।
गिटहब पर समझौता किए गए खातों का इस्तेमाल निजी कोड चोरी करने या उस कोड में दुर्भावनापूर्ण परिवर्तनों को धक्का देने के लिए भी किया जा सकता है। दुर्भाग्य से, न केवल इन समझौता किए गए खातों से जुड़े व्यक्तियों और उनके संगठनों को जोखिम है, बल्कि प्रभावित कोड के किसी भी उपयोगकर्ता को भी खतरा है।
छेड़छाड़ किए गए उपयोगकर्ता खातों के खिलाफ सबसे अच्छा बचाव बुनियादी पासवर्ड-आधारित प्रमाणीकरण से आगे बढ़ रहा है। हालाँकि, आज सभी सक्रिय GitHub उपयोगकर्ताओं में से केवल 16.5 प्रतिशत और npm उपयोगकर्ता 6.44 प्रतिशत 2FA के एक या अधिक रूपों का उपयोग करते हैं।
GitHub यूजर्स के पास इस बदलाव की तैयारी के लिए काफी समय है और कंपनी ने हाल ही में iOS और Android पर GitHub मोबाइल के लिए 2FA लॉन्च किया है। जो लोग GitHub मोबाइल 2FA को कॉन्फ़िगर करना सीखने में रुचि रखते हैं, वे आरंभ करने के लिए इस समर्थन दस्तावेज़ को देख सकते हैं।