Намагаючись додатково захистити облікові записи розробників і код, розміщений на своїй платформі, GitHub оголосив, що його користувачам потрібно буде зареєструватися в двофакторній аутентифікації (2FA) до кінця наступного року.
Точніше, будь-хто, хто надає код на платформі, що належить Microsoft, повинен увімкнути одну або кілька форм 2FA.
Згідно з новим блог Як сказав головний спеціаліст із безпеки GitHub Майк Хенлі, ланцюжок постачання програмного забезпечення починається з розробників, а облікові записи розробників часто стають мішенню соціальної інженерії та захоплення облікових записів. Захищаючи розробників від таких типів атак, компанія робить перший і найважливіший крок до захисту ланцюга постачання програмного забезпечення.
Надалі GitHub планує досліджувати нові способи безпечної аутентифікації своїх користувачів, включаючи автентифікацію без пароля. Фактично, лише минулого року компанія додала можливість використовувати ключі безпеки для аутентифікації як частину своїх зусиль, щоб рухатися до майбутнього без пароля.
Захист ланцюга постачання програмного забезпечення
Ще в листопаді минулого року GitHub здійснив нові інвестиції в безпеку облікового запису npm після поглинання пакетів npm, які були скомпрометовані обліковими записами розробників без увімкненої 2FA.
Хоча вразливості нульового дня привертають велику увагу в Інтернеті, недорогі атаки, такі як соціальна інженерія, крадіжка облікових даних або витік даних, насправді є відповідальними за більшість порушень безпеки.
Зламані облікові записи на GitHub можна використовувати для крадіжки приватного коду або навіть для внесення шкідливих змін до цього коду. На жаль, під загрозу потрапляють не лише особи та їхні організації, пов’язані з цими зламаними обліковими записами, а й усі користувачі ураженого коду.
Найкращий захист від зламаних облікових записів користувачів – це вихід за межі базової аутентифікації на основі пароля. Однак лише 16.5% усіх активних користувачів GitHub сьогодні та 6.44% користувачів npm використовують одну або кілька форм 2FA.
Користувачі GitHub мають достатньо часу, щоб підготуватися до цієї зміни, і компанія нещодавно запустила 2FA для GitHub для мобільних пристроїв на iOS та Android. Ті, хто хоче дізнатися, як налаштувати GitHub Mobile 2FA, можуть переглянути цей документ підтримки, щоб почати.