Em um esforço para proteger ainda mais as contas de desenvolvedor e o código hospedado em sua plataforma, o GitHub anunciou que seus usuários precisarão se inscrever na autenticação de dois fatores (2FA) até o final do próximo ano.
Mais especificamente, qualquer pessoa que contribua com código na plataforma de propriedade da Microsoft precisará habilitar uma ou mais formas de 2FA.
De acordo com um novo no blog do diretor de segurança do GitHub, Mike Hanley, a cadeia de fornecimento de software começa com desenvolvedores e contas de desenvolvedores são frequentemente alvos de engenharia social e controle de contas. Ao proteger os desenvolvedores desses tipos de ataques, a empresa está dando o primeiro e mais importante passo para proteger a cadeia de fornecimento de software.
No futuro, o GitHub planeja explorar novas maneiras de autenticar seus usuários com segurança, incluindo autenticação sem senha. Na verdade, apenas no ano passado, a empresa adicionou a capacidade de usar chaves de segurança para autenticação como parte de seus esforços para avançar em direção a um futuro sem senha.
Protegendo a cadeia de fornecimento de software
Em novembro do ano passado, o GitHub se comprometeu com novos investimentos em segurança de contas npm após aquisições de pacotes npm que foram resultado de contas de desenvolvedor sem 2FA habilitado que foram comprometidas.
Embora as vulnerabilidades de dia zero recebam muita atenção online, ataques de baixo custo, como engenharia social, roubo de credenciais ou vazamentos de dados, são, na verdade, responsáveis pela maioria das violações de segurança.
Contas comprometidas no GitHub podem ser usadas para roubar código privado ou até mesmo para enviar alterações maliciosas a esse código. Infelizmente, não apenas os indivíduos e suas organizações associadas a essas contas comprometidas estão em risco, mas também qualquer usuário do código afetado.
A melhor defesa contra contas de usuários comprometidas é ir além da autenticação básica baseada em senha. No entanto, apenas 16.5% de todos os usuários ativos do GitHub hoje e 6.44% dos usuários do npm usam uma ou mais formas de 2FA.
Os usuários do GitHub têm muito tempo para se preparar para essa mudança e a empresa lançou recentemente o 2FA para o GitHub mobile no iOS e Android. Os interessados em aprender a configurar o GitHub Mobile 2FA podem conferir este documento de suporte para começar.