V prizadevanju za dodatno zaščito računov razvijalcev in kode, ki gostuje na njegovi platformi, je GitHub napovedal, da se bodo njegovi uporabniki morali vpisati v dvofaktorsko avtentikacijo (2FA) do konca naslednjega leta.
Natančneje, vsakdo, ki prispeva kodo na platformi v lasti Microsofta, bo moral omogočiti eno ali več oblik 2FA.
Po novem blog post GitHub-ov glavni varnostnik Mike Hanley pravi, da se dobavna veriga programske opreme začne pri razvijalcih, računi razvijalcev pa so pogosto tarča socialnega inženiringa in prevzema računov. Z zaščito razvijalcev pred tovrstnimi napadi podjetje naredi prvi in najbolj kritičen korak k zavarovanju dobavne verige programske opreme.
GitHub namerava v prihodnje raziskati nove načine varnega preverjanja pristnosti svojih uporabnikov, vključno z preverjanjem pristnosti brez gesla. Pravzaprav je podjetje šele lani dodalo možnost uporabe varnostnih ključev za preverjanje pristnosti kot del svojih prizadevanj za prehod v prihodnost brez gesel.
Varovanje dobavne verige programske opreme
Že novembra lani se je GitHub zavezal k novim naložbam v varnost računa npm po prevzemih paketov npm, ki so bili posledica računov razvijalcev brez omogočenega 2FA, ki so bili ogroženi.
Čeprav ranljivosti ničelnega dne pritegnejo veliko pozornosti na spletu, so napadi z nižjimi stroški, kot so socialni inženiring, kraja poverilnic ali uhajanje podatkov, dejansko odgovorni za večino kršitev varnosti.
Ogrožene račune na GitHubu je mogoče uporabiti za krajo zasebne kode ali celo za potiskanje zlonamernih sprememb te kode. Na žalost niso ogroženi le posamezniki in njihove organizacije, povezani s temi ogroženimi računi, ampak tudi vsi uporabniki prizadete kode.
Najboljša obramba pred ogroženimi uporabniškimi računi je preseganje osnovnega preverjanja pristnosti na podlagi gesla. Vendar le 16.5 odstotka vseh aktivnih uporabnikov GitHub danes in 6.44 odstotka uporabnikov npm uporablja eno ali več oblik 2FA.
Uporabniki GitHub imajo dovolj časa, da se pripravijo na to spremembo in podjetje je pred kratkim lansiralo 2FA za mobilne naprave GitHub v sistemih iOS in Android. Tisti, ki se želijo naučiti konfigurirati GitHub Mobile 2FA, si lahko za začetek ogledajo ta podporni dokument.