У настојању да додатно заштити налоге програмера и код хостован на својој платформи, ГитХуб је најавио да ће његови корисници морати да се упишу у двофакторску аутентификацију (2ФА) до краја следеће године.
Тачније, свако ко доприноси коду на платформи у власништву Мицрософта мораће да омогући један или више облика 2ФА.
Према нови блог пост од ГитХуб-овог главног службеника за безбедност Микеа Ханлеиа, ланац набавке софтвера почиње од програмера, а рачуни програмера су често на мети друштвеног инжењеринга и преузимања налога. Штитећи програмере од ових врста напада, компанија предузима први и најкритичнији корак ка обезбеђивању ланца набавке софтвера.
Убудуће, ГитХуб планира да истражи нове начине безбедне аутентификације својих корисника, укључујући аутентификацију без лозинке. У ствари, само прошле године, компанија је додала могућност коришћења безбедносних кључева за аутентификацију као део својих напора да се крене ка будућности без лозинке.
Обезбеђивање ланца набавке софтвера
Још у новембру прошле године, ГитХуб се обавезао на нова улагања у безбедност нпм налога након преузимања нпм пакета који су били резултат налога програмера без омогућене 2ФА који су били компромитовани.
Иако рањивости нултог дана добијају велику пажњу на мрежи, јефтинији напади као што су друштвени инжењеринг, крађа акредитива или цурење података заправо су одговорни за већину кршења безбедности.
Компромитовани налози на ГитХуб-у могу да се користе за крађу приватног кода или чак за унос злонамерних промена у тај код. Нажалост, нису само појединци и њихове организације повезане са овим компромитованим налозима у опасности, већ и сви корисници кода који је погођен.
Најбоља одбрана од компромитованих корисничких налога је превазилажење основне аутентификације засноване на лозинки. Међутим, само 16.5 одсто свих активних ГитХуб корисника данас и 6.44 одсто корисника нпм користи један или више облика 2ФА.
Корисници ГитХуб-а имају довољно времена да се припреме за ову промену и компанија је недавно покренула 2ФА за ГитХуб мобиле на иОС-у и Андроид-у. Они који су заинтересовани да науче како да конфигуришу ГитХуб Мобиле 2ФА могу да погледају овај документ подршке да би започели.