Într-un efort de a securiza în continuare conturile de dezvoltator și codul găzduit pe platforma sa, GitHub a anunțat că utilizatorii săi vor trebui să se înscrie la autentificarea cu doi factori (2FA) până la sfârșitul anului viitor.
Mai precis, oricine contribuie cu cod pe platforma deținută de Microsoft va trebui să activeze una sau mai multe forme de 2FA.
Potrivit unui nou blog de la șeful de securitate al GitHub, Mike Hanley, lanțul de aprovizionare cu software începe cu dezvoltatorii, iar conturile de dezvoltatori sunt frecvent vizate de inginerie socială și preluare de conturi. Protejând dezvoltatorii de aceste tipuri de atacuri, compania face primul și cel mai critic pas către securizarea lanțului de aprovizionare cu software.
În continuare, GitHub intenționează să exploreze noi modalități de autentificare în siguranță a utilizatorilor săi, inclusiv autentificarea fără parolă. De fapt, chiar anul trecut, compania a adăugat posibilitatea de a folosi chei de securitate pentru autentificare, ca parte a eforturilor sale de a se îndrepta către un viitor fără parolă.
Securizarea lanțului de aprovizionare cu software
În luna noiembrie a anului trecut, GitHub s-a angajat să facă noi investiții în securitatea contului npm în urma preluării pachetelor npm care au fost rezultatul unor conturi de dezvoltator fără 2FA activat, care au fost compromise.
Deși vulnerabilitățile zero-day atrag multă atenție online, atacurile cu costuri mai mici, cum ar fi ingineria socială, furtul de acreditări sau scurgerile de date sunt de fapt responsabile pentru majoritatea încălcărilor de securitate.
Conturile compromise de pe GitHub pot fi folosite pentru a fura cod privat sau chiar pentru a împinge modificări rău intenționate ale codului respectiv. Din păcate, nu numai persoanele fizice și organizațiile lor asociate cu aceste conturi compromise sunt expuse riscului, ci și orice utilizator al codului afectat.
Cea mai bună apărare împotriva conturilor de utilizator compromise este trecerea dincolo de autentificarea de bază bazată pe parole. Cu toate acestea, doar 16.5% dintre toți utilizatorii GitHub activi astăzi și 6.44% dintre utilizatorii npm folosesc una sau mai multe forme de 2FA.
Utilizatorii GitHub au timp suficient pentru a se pregăti pentru această schimbare, iar compania a lansat recent 2FA pentru mobil GitHub pe iOS și Android. Cei interesați să învețe cum să configureze GitHub Mobile 2FA pot consulta acest document de asistență pentru a începe.