Dalam upaya untuk lebih mengamankan akun pengembang dan kode yang dihosting di platformnya, GitHub telah mengumumkan bahwa penggunanya harus mendaftar dalam otentikasi dua faktor (2FA) pada akhir tahun depan.
Lebih khusus lagi, siapa pun yang menyumbangkan kode pada platform milik Microsoft harus mengaktifkan satu atau lebih bentuk 2FA.
Menurut baru posting blog dari kepala petugas keamanan GitHub, Mike Hanley, rantai pasokan perangkat lunak dimulai dengan pengembang dan akun pengembang sering menjadi sasaran rekayasa sosial dan pengambilalihan akun. Dengan melindungi pengembang dari jenis serangan ini, perusahaan mengambil langkah pertama dan paling penting untuk mengamankan rantai pasokan perangkat lunak.
Ke depannya, GitHub berencana untuk mengeksplorasi cara-cara baru untuk mengautentikasi penggunanya dengan aman termasuk autentikasi tanpa kata sandi. Faktanya, baru tahun lalu, perusahaan menambahkan kemampuan untuk menggunakan kunci keamanan untuk otentikasi sebagai bagian dari upayanya untuk bergerak menuju masa depan tanpa kata sandi.
Mengamankan rantai pasokan perangkat lunak
Kembali pada bulan November tahun lalu, GitHub berkomitmen untuk investasi baru dalam keamanan akun npm setelah pengambilalihan paket npm yang merupakan hasil dari akun pengembang tanpa mengaktifkan 2FA yang telah disusupi.
Meskipun kerentanan zero-day mendapatkan banyak perhatian online, serangan berbiaya rendah seperti rekayasa sosial, pencurian kredensial, atau kebocoran data sebenarnya bertanggung jawab atas sebagian besar pelanggaran keamanan.
Akun yang disusupi di GitHub dapat digunakan untuk mencuri kode pribadi atau bahkan untuk mendorong perubahan berbahaya pada kode itu. Sayangnya, tidak hanya individu dan organisasi mereka yang terkait dengan akun yang disusupi ini yang berisiko, tetapi juga semua pengguna kode yang terpengaruh.
Pertahanan terbaik terhadap akun pengguna yang disusupi bergerak melampaui otentikasi berbasis kata sandi dasar. Namun, hanya 16.5 persen dari semua pengguna GitHub aktif saat ini dan 6.44 persen pengguna npm menggunakan satu atau lebih bentuk 2FA.
Pengguna GitHub memiliki banyak waktu untuk mempersiapkan perubahan ini dan perusahaan baru-baru ini meluncurkan 2FA untuk seluler GitHub di iOS dan Android. Mereka yang tertarik mempelajari cara mengonfigurasi GitHub Mobile 2FA dapat melihat dokumen dukungan ini untuk memulai.