Cenšoties vēl vairāk nodrošināt savā platformā mitinātos izstrādātāju kontus un kodu, GitHub ir paziņojis, ka tā lietotājiem līdz nākamā gada beigām būs jāreģistrējas divu faktoru autentifikācijā (2FA).
Konkrētāk, ikvienam, kas ievieto kodu Microsoft piederošajā platformā, būs jāiespējo viens vai vairāki 2FA veidi.
Saskaņā ar jaunu blog post GitHub galvenais drošības speciālists Maiks Hanlijs norāda, ka programmatūras piegādes ķēde sākas ar izstrādātājiem, un izstrādātāju konti bieži tiek pakļauti sociālās inženierijas un kontu pārņemšanas mērķiem. Aizsargājot izstrādātājus no šāda veida uzbrukumiem, uzņēmums sper pirmo un vissvarīgāko soli, lai nodrošinātu programmatūras piegādes ķēdi.
Turpmāk GitHub plāno izpētīt jaunus veidus, kā droši autentificēt savus lietotājus, tostarp bezparoles autentifikāciju. Faktiski tikai pagājušajā gadā uzņēmums pievienoja iespēju izmantot drošības atslēgas autentifikācijai kā daļu no saviem centieniem virzīties uz nākotni bez paroles.
Programmatūras piegādes ķēdes nodrošināšana
Pagājušā gada novembrī GitHub apņēmās veikt jaunas investīcijas npm konta drošībā pēc npm pakotņu pārņemšanas, ko izraisīja izstrādātāju konti bez iespējota 2FA un tika apdraudēti.
Lai gan nulles dienas ievainojamībām tiek pievērsta liela uzmanība tiešsaistē, par lielāko daļu drošības pārkāpumu faktiski ir vainojami zemāku izmaksu uzbrukumi, piemēram, sociālā inženierija, akreditācijas datu zādzība vai datu noplūde.
Kompromitētos kontus vietnē GitHub var izmantot, lai nozagtu privātu kodu vai pat veiktu ļaunprātīgas izmaiņas šajā kodā. Diemžēl apdraudētas ir ne tikai personas un viņu organizācijas, kas saistītas ar šiem uzlauztajiem kontiem, bet arī visi ietekmētā koda lietotāji.
Labākā aizsardzība pret apdraudētiem lietotāju kontiem ir ne tikai pamata autentifikācija, kas balstīta uz paroli. Tomēr tikai 16.5 procenti no visiem aktīvajiem GitHub lietotājiem šodien un 6.44 procenti npm lietotāju izmanto vienu vai vairākas 2FA formas.
GitHub lietotājiem ir daudz laika, lai sagatavotos šīm izmaiņām, un uzņēmums nesen uzsāka 2FA GitHub mobilajām ierīcēm operētājsistēmās iOS un Android. Tie, kas vēlas uzzināt, kā konfigurēt GitHub Mobile 2FA, var apskatīt šo atbalsta dokumentu, lai sāktu darbu.