Sa pagsisikap na higit pang ma-secure ang mga developer account at code na naka-host sa platform nito, inihayag ng GitHub na ang mga user nito ay kakailanganing mag-enroll sa two factor authentication (2FA) sa katapusan ng susunod na taon.
Higit na partikular, ang sinumang mag-aambag ng code sa platform na pagmamay-ari ng Microsoft ay kailangang paganahin ang isa o higit pang mga anyo ng 2FA.
Ayon sa isang bago blog post mula sa punong opisyal ng seguridad ng GitHub na si Mike Hanley, ang software supply chain ay nagsisimula sa mga developer at ang mga developer account ay madalas na tina-target ng social engineering at account takeover. Sa pamamagitan ng pagprotekta sa mga developer mula sa mga ganitong uri ng pag-atake, ginagawa ng kumpanya ang una at pinakamahalagang hakbang patungo sa pag-secure ng software supply chain.
Sa pagpapatuloy, plano ng GitHub na tuklasin ang mga bagong paraan ng secure na pagpapatotoo sa mga user nito kasama ang walang password na pagpapatotoo. Sa katunayan, noong nakaraang taon lamang, idinagdag ng kumpanya ang kakayahang gumamit ng mga security key para sa pagpapatunay bilang bahagi ng mga pagsisikap nitong lumipat patungo sa isang walang password na hinaharap.
Pag-secure ng software supply chain
Noong Nobyembre ng nakaraang taon, ang GitHub ay nakatuon sa mga bagong pamumuhunan sa npm account security kasunod ng npm package takeovers na resulta ng mga developer account na walang 2FA na pinagana na nakompromiso.
Bagama't ang mga kahinaan sa zero-day ay nakakakuha ng maraming atensyon online, ang mga pag-atake na mas mura gaya ng social engineering, pagnanakaw ng kredensyal o pagtagas ng data ay talagang responsable para sa karamihan ng mga paglabag sa seguridad.
Maaaring gamitin ang mga nakompromisong account sa GitHub para magnakaw ng pribadong code o kahit na mag-push ng mga nakakahamak na pagbabago sa code na iyon. Sa kasamaang palad, hindi lamang mga indibidwal at kanilang mga organisasyong nauugnay sa mga nakompromisong account na ito ang nasa panganib kundi pati na rin ang sinumang mga gumagamit ng apektadong code.
Ang pinakamahusay na depensa laban sa mga nakompromisong user account ay higit pa sa pangunahing pagpapatunay na batay sa password. Gayunpaman, 16.5 porsiyento lamang ng lahat ng aktibong gumagamit ng GitHub ngayon at 6.44 porsiyento ng mga gumagamit ng npm ang gumagamit ng isa o higit pang mga anyo ng 2FA.
Ang mga user ng GitHub ay may maraming oras upang maghanda para sa pagbabagong ito at kamakailan ay inilunsad ng kumpanya ang 2FA para sa GitHub mobile sa iOS at Android. Ang mga interesadong matutunan kung paano i-configure ang GitHub Mobile 2FA ay maaaring tingnan ang dokumentong ito ng suporta upang makapagsimula.