A platformján tárolt fejlesztői fiókok és kódok további biztonságosabbá tétele érdekében a GitHub bejelentette, hogy felhasználóinak a jövő év végéig regisztrálniuk kell a kétfaktoros hitelesítésre (2FA).
Pontosabban, mindenkinek, aki a Microsoft tulajdonában lévő platformon kódot ad hozzá, engedélyeznie kell a 2FA egy vagy több formáját.
Az új blogbejegyzés Mike Hanley, a GitHub biztonsági igazgatója szerint a szoftverellátási lánc a fejlesztőkkel kezdődik, és a fejlesztői fiókok gyakran a social engineering és a fiókok átvételének célpontjai. Azáltal, hogy megvédi a fejlesztőket az ilyen típusú támadásoktól, a vállalat megteszi az első és legkritikusabb lépést a szoftverellátási lánc biztonsága felé.
A jövőben a GitHub azt tervezi, hogy új módszereket fog felfedezni felhasználói biztonságos hitelesítésére, beleértve a jelszó nélküli hitelesítést. Valójában csak tavaly a vállalat a jelszó nélküli jövő felé tett erőfeszítései részeként hozzáadta a biztonsági kulcsok hitelesítéshez való használatának lehetőségét.
A szoftverellátási lánc biztosítása
Tavaly novemberben a GitHub új befektetések mellett kötelezte el magát az npm-fiókok biztonságába az npm-csomagok átvétele után, amelyek a 2FA-t nem engedélyező fejlesztői fiókok feltörésének eredményeként jöttek létre.
Bár a nulladik napi sebezhetőségek nagy figyelmet kapnak az interneten, az alacsonyabb költségű támadások, mint például a social engineering, a hitelesítő adatok ellopása vagy az adatszivárgás felelősek a legtöbb biztonsági incidensért.
A GitHubon feltört fiókok felhasználhatók privát kód ellopására, vagy akár rosszindulatú módosítások végrehajtására a kódon. Sajnos nem csak a feltört fiókokhoz kapcsolódó egyének és szervezeteik vannak veszélyben, hanem az érintett kód bármely felhasználója is.
A feltört felhasználói fiókok elleni legjobb védekezés az alapvető jelszóalapú hitelesítésen túlmutató. Jelenleg azonban az összes aktív GitHub-felhasználónak csak 16.5 százaléka és az npm-felhasználók 6.44 százaléka használja a 2FA egy vagy több formáját.
A GitHub-felhasználóknak bőven van idejük felkészülni erre a változásra, és a cég nemrégiben elindította a 2FA-t a GitHub mobilokhoz iOS és Android rendszeren. Azok, akik érdeklődnek a GitHub Mobile 2FA konfigurálása iránt, megtekinthetik ezt a támogatási dokumentumot a kezdéshez.