I ett försök att ytterligare säkra utvecklarkontona och koden som finns på dess plattform, har GitHub meddelat att dess användare kommer att behöva registrera sig för tvåfaktorsautentisering (2FA) i slutet av nästa år.
Mer specifikt kommer alla som bidrar med kod på den Microsoft-ägda plattformen att behöva aktivera en eller flera former av 2FA.
Enligt en ny blogginlägg från GitHubs säkerhetschef Mike Hanley börjar mjukvaruförsörjningskedjan med utvecklare och utvecklarkonton är ofta inriktade på social ingenjörskonst och kontoövertagande. Genom att skydda utvecklare från dessa typer av attacker tar företaget det första och mest kritiska steget mot att säkra mjukvaruförsörjningskedjan.
Framöver planerar GitHub att utforska nya sätt att säkert autentisera sina användare, inklusive lösenordslös autentisering. Faktum är att bara förra året lade företaget till möjligheten att använda säkerhetsnycklar för autentisering som en del av sina ansträngningar att gå mot en lösenordslös framtid.
Säkra mjukvaruförsörjningskedjan
Tillbaka i november förra året åtog sig GitHub till nya investeringar i npm-kontosäkerhet efter övertagande av npm-paket som var resultatet av utvecklarkonton utan 2FA aktiverat som hade äventyrats.
Även om nolldagssårbarheter får mycket uppmärksamhet på nätet, är billigare attacker som social ingenjörskonst, identitetsstöld eller dataläckor faktiskt ansvariga för de flesta säkerhetsintrång.
Komprometterade konton på GitHub kan användas för att stjäla privat kod eller till och med för att driva skadliga ändringar av den koden. Tyvärr är inte bara individer och deras organisationer associerade med dessa intrångade konton i riskzonen utan även alla användare av den berörda koden.
Det bästa försvaret mot komprometterade användarkonton är att gå bortom grundläggande lösenordsbaserad autentisering. Men bara 16.5 procent av alla aktiva GitHub-användare idag och 6.44 procent av npm-användare använder en eller flera former av 2FA.
GitHub-användare har gott om tid att förbereda sig för denna förändring och företaget lanserade nyligen 2FA för GitHub-mobil på iOS och Android. De som är intresserade av att lära sig hur man konfigurerar GitHub Mobile 2FA kan kolla in detta supportdokument för att komma igång.