GitHub ידרוש מכל המפתחים להירשם ל-2FA עד סוף 2023

במאמץ להמשיך לאבטח את חשבונות המפתחים והקוד המתארחים בפלטפורמה שלה, GitHub הודיעה שמשתמשיה יצטרכו להירשם לאימות דו-גורמי (2FA) עד סוף השנה הבאה.

ליתר דיוק, כל מי שתורם קוד בפלטפורמה שבבעלות מיקרוסופט יצטרך לאפשר צורה אחת או יותר של 2FA.

על פי חדש בלוג מאת קצין האבטחה הראשי של GitHub, מייק הנלי, שרשרת אספקת התוכנה מתחילה במפתחים וחשבונות מפתחים ממוקדים לעתים קרובות על ידי הנדסה חברתית והשתלטות על חשבונות. על ידי הגנה על מפתחים מפני התקפות מסוג זה, החברה עושה את הצעד הראשון והקריטי ביותר לקראת אבטחת שרשרת אספקת התוכנה.

בהמשך, GitHub מתכננת לחקור דרכים חדשות לאימות מאובטחת המשתמשים שלה, כולל אימות ללא סיסמה. למעשה, רק בשנה שעברה, החברה הוסיפה את היכולת להשתמש במפתחות אבטחה לאימות כחלק מהמאמצים שלה להתקדם לעבר עתיד ללא סיסמה.

אבטחת שרשרת אספקת התוכנה

עוד בנובמבר של השנה שעברה, GitHub התחייבה להשקעות חדשות באבטחת חשבון npm בעקבות השתלטות על חבילות npm שהיו תוצאה של חשבונות מפתחים ללא הפעלת 2FA שנפגעו.

למרות שפגיעויות של יום אפס זוכות לתשומת לב רבה באינטרנט, התקפות בעלות נמוכה יותר כגון הנדסה חברתית, גניבת אישורים או דליפות נתונים אחראיות למעשה לרוב פרצות האבטחה.

חשבונות שנפגעו ב-GitHub יכולים לשמש כדי לגנוב קוד פרטי או אפילו לדחוף שינויים זדוניים בקוד זה. למרבה הצער, לא רק אנשים והארגונים שלהם הקשורים לחשבונות שנפרצו אלה נמצאים בסיכון, אלא גם כל המשתמשים בקוד המושפע.

ההגנה הטובה ביותר מפני חשבונות משתמש שנפגעו היא מעבר לאימות בסיסית מבוססת סיסמה. עם זאת, רק 16.5 אחוזים מכלל משתמשי GitHub הפעילים כיום ו-6.44 אחוזים ממשתמשי npm משתמשים בצורת 2FA אחת או יותר.

למשתמשי GitHub יש מספיק זמן להתכונן לשינוי הזה והחברה השיקה לאחרונה את 2FA עבור GitHub לנייד ב-iOS ואנדרואיד. מי שמעוניין ללמוד כיצד להגדיר את GitHub Mobile 2FA יכול לבדוק את מסמך התמיכה הזה כדי להתחיל.

מָקוֹר