Во обид да ги обезбеди дополнително сметките на програмерите и кодот хостирани на неговата платформа, GitHub објави дека неговите корисници ќе треба да се запишат во автентикација со два фактори (2FA) до крајот на следната година.
Поконкретно, секој што дава код на платформата во сопственост на Мајкрософт ќе треба да овозможи една или повеќе форми на 2FA.
Според една нова блог пост од главниот безбедносен офицер на GitHub, Мајк Ханли, синџирот на снабдување софтвер започнува со програмери и сметките на програмерите често се цел на социјално инженерство и преземање сметки. Со заштита на програмерите од овие типови напади, компанијата го прави првиот и најкритичниот чекор кон обезбедување на синџирот на снабдување со софтвер.
Во иднина, GitHub планира да истражува нови начини за безбедно автентикација на своите корисници, вклучително и автентикација без лозинка. Всушност, само минатата година, компанијата додаде можност за користење безбедносни клучеви за автентикација како дел од нејзините напори да се придвижи кон иднина без лозинка.
Обезбедување на синџирот на снабдување со софтвер
Уште во ноември минатата година, GitHub се обврза на нови инвестиции во безбедноста на npm сметката по преземањето на npm пакетите што беа резултат на сметки на програмери без овозможено 2FA кои беа компромитирани.
Иако ранливостите на нултиот ден привлекуваат големо внимание на интернет, нападите со пониска цена, како што се социјалното инженерство, кражбата на акредитиви или протекувањето податоци, всушност се одговорни за повеќето безбедносни прекршувања.
Компромитирани сметки на GitHub може да се користат за кражба на приватен код или дури и за притискање на малициозни промени на тој код. За жал, не само поединци и нивните организации поврзани со овие компромитирани сметки се изложени на ризик, туку и сите корисници на засегнатиот код.
Најдобрата одбрана од компромитирани кориснички сметки е надминување на основната автентикација базирана на лозинка. Сепак, само 16.5 проценти од сите активни корисници на GitHub денес и 6.44 проценти од корисниците на npm користат една или повеќе форми на 2FA.
Корисниците на GitHub имаат доволно време да се подготват за оваа промена и компанијата неодамна лансираше 2FA за GitHub мобилни на iOS и Android. Оние кои се заинтересирани да научат како да го конфигурираат GitHub Mobile 2FA може да го проверат овој документ за поддршка за да започнат.