Siekdama dar labiau apsaugoti savo platformoje esančias kūrėjų paskyras ir kodą, „GitHub“ paskelbė, kad jo vartotojai iki kitų metų pabaigos turės užsiregistruoti dviejų veiksnių autentifikavimo sistemoje (2FA).
Tiksliau sakant, kiekvienas, kuris pateikia kodą „Microsoft“ priklausančioje platformoje, turės įjungti vieną ar daugiau 2FA formų.
Pagal naujas dienoraštyje Pasak GitHub vyriausiojo saugumo pareigūno Mike'o Hanley, programinės įrangos tiekimo grandinė prasideda nuo kūrėjų, o kūrėjų paskyros dažnai yra socialinės inžinerijos ir paskyros perėmimo taikinys. Apsaugodama kūrėjus nuo tokio tipo atakų, bendrovė žengia pirmąjį ir svarbiausią žingsnį siekdama apsaugoti programinės įrangos tiekimo grandinę.
Ateityje „GitHub“ planuoja ieškoti naujų būdų saugiai autentifikuoti savo vartotojus, įskaitant autentifikavimą be slaptažodžio. Tiesą sakant, tik praėjusiais metais bendrovė, siekdama ateities be slaptažodžių, pridėjo galimybę autentifikuoti naudoti saugos raktus.
Programinės įrangos tiekimo grandinės apsauga
Praėjusių metų lapkritį „GitHub“ įsipareigojo investuoti į npm paskyros saugumą po npm paketų perėmimo, atsiradusio dėl kūrėjų paskyrų, kuriose nebuvo įjungta 2FA, ir kurios buvo pažeistos.
Nors nulinės dienos pažeidžiamumas internete sulaukia daug dėmesio, daugumą saugumo pažeidimų iš tikrųjų sukelia pigesnės atakos, tokios kaip socialinė inžinerija, kredencialų vagystės ar duomenų nutekėjimas.
Pažeistos paskyros „GitHub“ gali būti naudojamos norint pavogti privatų kodą arba netgi atlikti kenkėjiškus šio kodo pakeitimus. Deja, pavojus kyla ne tik asmenims ir jų organizacijoms, susijusioms su šiomis pažeistomis paskyromis, bet ir visiems paveikto kodo naudotojams.
Geriausia apsauga nuo pažeistų vartotojų paskyrų yra ne tik paprastas slaptažodžiu pagrįstas autentifikavimas. Tačiau tik 16.5 procento visų aktyvių „GitHub“ vartotojų šiandien ir 6.44 procento npm vartotojų naudoja vieną ar daugiau 2FA formų.
„GitHub“ vartotojai turi daug laiko pasiruošti šiam pokyčiui, o bendrovė neseniai pristatė „2FA“, skirtą „GitHub“ mobiliesiems įrenginiams „iOS“ ir „Android“. Tie, kurie nori sužinoti, kaip sukonfigūruoti „GitHub Mobile 2FA“, norėdami pradėti, gali peržiūrėti šį palaikymo dokumentą.