Стремясь дополнительно защитить учетные записи разработчиков и код, размещенный на его платформе, GitHub объявил, что к концу следующего года его пользователям необходимо будет зарегистрироваться в двухфакторной аутентификации (2FA).
В частности, любой, кто вносит код на платформу, принадлежащую Microsoft, должен будет включить одну или несколько форм 2FA.
Согласно новому блоге По словам главного сотрудника службы безопасности GitHub Майка Хэнли, цепочка поставок программного обеспечения начинается с разработчиков, а учетные записи разработчиков часто становятся мишенью для социальной инженерии и захвата учетных записей. Защищая разработчиков от подобных атак, компания делает первый и самый важный шаг к обеспечению безопасности цепочки поставок программного обеспечения.
В будущем GitHub планирует изучить новые способы безопасной аутентификации своих пользователей, включая аутентификацию без пароля. Фактически, только в прошлом году компания добавила возможность использовать ключи безопасности для аутентификации в рамках своих усилий по продвижению к будущему без паролей.
Обеспечение безопасности цепочки поставок программного обеспечения
Еще в ноябре прошлого года GitHub взял на себя новые инвестиции в безопасность учетных записей npm после захвата пакетов npm, которые были результатом взлома учетных записей разработчиков без включенной двухфакторной аутентификации.
Несмотря на то, что уязвимости нулевого дня привлекают большое внимание в Интернете, более дешевые атаки, такие как социальная инженерия, кража учетных данных или утечка данных, на самом деле являются причиной большинства нарушений безопасности.
Скомпрометированные учетные записи на GitHub могут использоваться для кражи частного кода или даже для внесения злонамеренных изменений в этот код. К сожалению, риску подвергаются не только отдельные лица и их организации, связанные с этими скомпрометированными учетными записями, но и любые пользователи уязвимого кода.
Лучшая защита от скомпрометированных учетных записей пользователей выходит за рамки базовой аутентификации на основе пароля. Однако сегодня только 16.5% всех активных пользователей GitHub и 6.44% пользователей npm используют одну или несколько форм двухфакторной аутентификации.
У пользователей GitHub есть достаточно времени, чтобы подготовиться к этому изменению, и компания недавно запустила 2FA для мобильных устройств GitHub на iOS и Android. Те, кто хочет узнать, как настроить GitHub Mobile 2FA, могут ознакомиться с этим документом поддержки, чтобы начать работу.