Nel tentativo di proteggere ulteriormente gli account degli sviluppatori e il codice ospitato sulla sua piattaforma, GitHub ha annunciato che i suoi utenti dovranno iscriversi all'autenticazione a due fattori (2FA) entro la fine del prossimo anno.
Più specificamente, chiunque contribuisca con il codice sulla piattaforma di proprietà di Microsoft dovrà abilitare una o più forme di 2FA.
Secondo una nuova post sul blog da Mike Hanley, Chief Security Officer di GitHub, la catena di fornitura del software inizia con gli sviluppatori e gli account degli sviluppatori sono spesso presi di mira dall'ingegneria sociale e dall'acquisizione di account. Proteggendo gli sviluppatori da questi tipi di attacchi, l'azienda sta compiendo il primo e più critico passo verso la protezione della catena di fornitura del software.
In futuro, GitHub prevede di esplorare nuovi modi per autenticare in modo sicuro i propri utenti, inclusa l'autenticazione senza password. In effetti, proprio l'anno scorso, l'azienda ha aggiunto la possibilità di utilizzare le chiavi di sicurezza per l'autenticazione come parte dei suoi sforzi per muoversi verso un futuro senza password.
Protezione della catena di fornitura del software
Nel novembre dello scorso anno, GitHub si è impegnato in nuovi investimenti nella sicurezza degli account npm a seguito delle acquisizioni di pacchetti npm che erano il risultato di account sviluppatore senza 2FA abilitati che erano stati compromessi.
Sebbene le vulnerabilità zero-day ricevano molta attenzione online, gli attacchi a basso costo come l'ingegneria sociale, il furto di credenziali o la fuga di dati sono in realtà responsabili della maggior parte delle violazioni della sicurezza.
Gli account compromessi su GitHub possono essere utilizzati per rubare codice privato o anche per inviare modifiche dannose a quel codice. Sfortunatamente, non solo le persone e le loro organizzazioni associate a questi account compromessi sono a rischio, ma anche tutti gli utenti del codice interessato.
La migliore difesa contro gli account utente compromessi va oltre l'autenticazione di base basata su password. Tuttavia, solo il 16.5% di tutti gli utenti GitHub attivi oggi e il 6.44% degli utenti npm utilizzano una o più forme di 2FA.
Gli utenti di GitHub hanno tutto il tempo per prepararsi a questo cambiamento e la società ha recentemente lanciato 2FA per GitHub mobile su iOS e Android. Coloro che sono interessati a imparare come configurare GitHub Mobile 2FA possono consultare questo documento di supporto per iniziare.