U nastojanju da dodatno osigura račune razvojnih programera i kod koji se nalazi na njegovoj platformi, GitHub je najavio da će se njegovi korisnici morati prijaviti za dvofaktornu autentifikaciju (2FA) do kraja sljedeće godine.
Točnije, svatko tko pridonese kodu na platformi u vlasništvu Microsofta morat će omogućiti jedan ili više oblika 2FA.
Prema novom blog post od GitHubovog glavnog službenika za sigurnost Mikea Hanleya, lanac nabave softvera počinje s razvojnim programerima, a računi programera često su meta društvenog inženjeringa i preuzimanja računa. Štiteći programere od ovakvih vrsta napada, tvrtka poduzima prvi i najkritičniji korak prema osiguravanju lanca nabave softvera.
U budućnosti GitHub planira istražiti nove načine sigurne autentifikacije svojih korisnika uključujući autentifikaciju bez lozinke. Zapravo, samo prošle godine tvrtka je dodala mogućnost korištenja sigurnosnih ključeva za autentifikaciju kao dio svojih napora da krene prema budućnosti bez lozinki.
Osiguranje lanca nabave softvera
Još u studenom prošle godine, GitHub se obvezao na nova ulaganja u sigurnost npm računa nakon preuzimanja npm paketa koja su bila rezultat računa razvojnih programera bez omogućenog 2FA koji je bio ugrožen.
Iako ranjivosti nultog dana dobivaju mnogo pozornosti na internetu, jeftiniji napadi poput socijalnog inženjeringa, krađe vjerodajnica ili curenja podataka zapravo su odgovorni za većinu sigurnosnih proboja.
Ugroženi računi na GitHubu mogu se koristiti za krađu privatnog koda ili čak za guranje zlonamjernih promjena tog koda. Nažalost, ugroženi su ne samo pojedinci i njihove organizacije povezani s ovim ugroženim računima, već i svi korisnici zahvaćenog koda.
Najbolja obrana od kompromitiranih korisničkih računa je prelazak s osnovne provjere autentičnosti temeljene na lozinci. Međutim, samo 16.5 posto svih aktivnih korisnika GitHuba danas i 6.44 posto korisnika npm-a koristi jedan ili više oblika 2FA.
Korisnici GitHuba imaju dovoljno vremena da se pripreme za ovu promjenu, a tvrtka je nedavno pokrenula 2FA za GitHub mobilni na iOS-u i Androidu. Oni koji žele naučiti kako konfigurirati GitHub Mobile 2FA mogu pogledati ovaj dokument za podršku kako bi započeli.