I et forsøk på å ytterligere sikre utviklerkontoene og koden som er vert på plattformen, har GitHub annonsert at brukerne må registrere seg for tofaktorautentisering (2FA) innen slutten av neste år.
Mer spesifikt vil alle som bidrar med kode på den Microsoft-eide plattformen måtte aktivere en eller flere former for 2FA.
I henhold til en ny blogginnlegg fra GitHubs sikkerhetssjef Mike Hanley, starter programvareforsyningskjeden med utviklere, og utviklerkontoer er ofte målrettet mot sosial teknikk og kontoovertakelse. Ved å beskytte utviklere mot denne typen angrep, tar selskapet det første og mest kritiske skrittet mot å sikre programvareforsyningskjeden.
Fremover planlegger GitHub å utforske nye måter for sikker autentisering av brukerne, inkludert passordløs autentisering. Faktisk la selskapet i fjor til muligheten til å bruke sikkerhetsnøkler for autentisering som en del av arbeidet med å bevege seg mot en passordløs fremtid.
Sikring av programvareforsyningskjeden
Tilbake i november i fjor forpliktet GitHub seg til nye investeringer i npm-kontosikkerhet etter npm-pakkeovertakelser som var et resultat av utviklerkontoer uten 2FA aktivert som hadde blitt kompromittert.
Selv om nulldagssårbarheter får mye oppmerksomhet på nettet, er rimeligere angrep som sosial ingeniørkunst, legitimasjonstyveri eller datalekkasjer faktisk ansvarlige for de fleste sikkerhetsbrudd.
Kompromitterte kontoer på GitHub kan brukes til å stjele privat kode eller til og med for å pushe ondsinnede endringer i den koden. Dessverre er ikke bare enkeltpersoner og deres organisasjoner knyttet til disse kompromitterte kontoene i faresonen, men også alle brukere av den berørte koden.
Det beste forsvaret mot kompromitterte brukerkontoer går utover grunnleggende passordbasert autentisering. Imidlertid bruker bare 16.5 prosent av alle aktive GitHub-brukere i dag og 6.44 prosent av npm-brukere en eller flere former for 2FA.
GitHub-brukere har god tid til å forberede seg på denne endringen, og selskapet lanserte nylig 2FA for GitHub-mobil på iOS og Android. De som er interessert i å lære å konfigurere GitHub Mobile 2FA kan sjekke ut dette støttedokumentet for å komme i gang.