Geliştirici hesaplarını ve platformunda barındırılan kodları daha da güvenli hale getirmek amacıyla GitHub, kullanıcılarının gelecek yılın sonuna kadar iki faktörlü kimlik doğrulamaya (2FA) kaydolmaları gerektiğini duyurdu.
Daha spesifik olarak, Microsoft'a ait platformda koda katkıda bulunan herkesin bir veya daha fazla 2FA formunu etkinleştirmesi gerekecektir.
Yeni göre blog yazısı GitHub'un güvenlik şefi Mike Hanley'e göre yazılım tedarik zinciri geliştiricilerle başlıyor ve geliştirici hesapları sıklıkla sosyal mühendislik ve hesap ele geçirme tarafından hedef alınıyor. Şirket, geliştiricileri bu tür saldırılardan koruyarak yazılım tedarik zincirinin güvenliğini sağlamaya yönelik ilk ve en kritik adımı atıyor.
GitHub ileriye dönük olarak, parolasız kimlik doğrulama da dahil olmak üzere kullanıcılarının kimliklerini güvenli bir şekilde doğrulamanın yeni yollarını keşfetmeyi planlıyor. Aslında şirket, parolasız bir geleceğe doğru ilerleme çabalarının bir parçası olarak, geçen yıl kimlik doğrulama için güvenlik anahtarlarını kullanma olanağını ekledi.
Yazılım tedarik zincirinin güvenliğini sağlama
Geçen yılın Kasım ayında GitHub, 2FA'nın etkin olmadığı geliştirici hesaplarının tehlikeye atılması sonucu ortaya çıkan npm paket devralmalarının ardından npm hesap güvenliğine yeni yatırımlar yapmaya kararlıydı.
Sıfır gün güvenlik açıkları çevrimiçi ortamda çok fazla ilgi görmesine rağmen, çoğu güvenlik ihlalinden aslında sosyal mühendislik, kimlik bilgileri hırsızlığı veya veri sızıntıları gibi düşük maliyetli saldırılar sorumludur.
GitHub'daki güvenliği ihlal edilmiş hesaplar, özel kodu çalmak ve hatta bu kodda kötü amaçlı değişiklikler yapmak için kullanılabilir. Ne yazık ki, yalnızca ele geçirilen bu hesaplarla ilişkili bireyler ve kuruluşlar değil, aynı zamanda etkilenen kodun kullanıcıları da risk altındadır.
Güvenliği ihlal edilmiş kullanıcı hesaplarına karşı en iyi savunma, temel parola tabanlı kimlik doğrulamanın ötesine geçmektir. Ancak bugün tüm aktif GitHub kullanıcılarının yalnızca yüzde 16.5'i ve npm kullanıcılarının yüzde 6.44'ü bir veya daha fazla 2FA formunu kullanıyor.
GitHub kullanıcılarının bu değişikliğe hazırlanmak için bolca vakti var ve şirket yakın zamanda iOS ve Android'de GitHub mobil için 2FA'yı başlattı. GitHub Mobile 2FA'nın nasıl yapılandırılacağını öğrenmek isteyenler, başlamak için bu destek belgesine göz atabilirler.