Trong nỗ lực bảo mật hơn nữa các tài khoản nhà phát triển và mã được lưu trữ trên nền tảng của mình, GitHub đã thông báo rằng người dùng sẽ cần đăng ký xác thực hai yếu tố (2FA) vào cuối năm tới.
Cụ thể hơn, bất kỳ ai đóng góp mã trên nền tảng do Microsoft sở hữu sẽ cần kích hoạt một hoặc nhiều hình thức 2FA.
Theo một mới blog đăng bài từ giám đốc an ninh Mike Hanley của GitHub, chuỗi cung ứng phần mềm bắt đầu với các nhà phát triển và tài khoản nhà phát triển thường xuyên bị tấn công bởi kỹ thuật xã hội và tiếp quản tài khoản. Bằng cách bảo vệ các nhà phát triển khỏi những kiểu tấn công này, công ty đang thực hiện bước đầu tiên và quan trọng nhất để bảo vệ chuỗi cung ứng phần mềm.
Trong tương lai, GitHub có kế hoạch khám phá những cách mới để xác thực người dùng một cách an toàn, bao gồm cả xác thực không cần mật khẩu. Trên thực tế, chỉ năm ngoái, công ty đã bổ sung khả năng sử dụng khóa bảo mật để xác thực như một phần trong nỗ lực hướng tới một tương lai không mật khẩu.
Đảm bảo chuỗi cung ứng phần mềm
Trở lại tháng 2 năm ngoái, GitHub đã cam kết đầu tư mới vào bảo mật tài khoản npm sau khi tiếp quản gói npm do tài khoản nhà phát triển không kích hoạt XNUMXFA đã bị xâm phạm.
Mặc dù các lỗ hổng zero-day nhận được nhiều sự chú ý trên mạng, nhưng các cuộc tấn công chi phí thấp hơn như kỹ thuật lừa đảo qua mạng, đánh cắp thông tin xác thực hoặc rò rỉ dữ liệu thực sự là nguyên nhân gây ra hầu hết các vi phạm bảo mật.
Các tài khoản bị xâm phạm trên GitHub có thể được sử dụng để đánh cắp mã riêng tư hoặc thậm chí để thực hiện các thay đổi độc hại đối với mã đó. Thật không may, không chỉ các cá nhân và tổ chức của họ được liên kết với các tài khoản bị xâm nhập này mà cả bất kỳ người dùng mã bị ảnh hưởng nào cũng gặp rủi ro.
Cách bảo vệ tốt nhất chống lại tài khoản người dùng bị xâm phạm là vượt ra ngoài xác thực dựa trên mật khẩu cơ bản. Tuy nhiên, chỉ 16.5% tổng số người dùng GitHub đang hoạt động hiện nay và 6.44% người dùng npm sử dụng một hoặc nhiều dạng 2FA.
Người dùng GitHub có nhiều thời gian để chuẩn bị cho sự thay đổi này và công ty gần đây đã ra mắt 2FA cho GitHub di động trên iOS và Android. Những người muốn tìm hiểu cách định cấu hình GitHub Mobile 2FA có thể xem tài liệu hỗ trợ này để bắt đầu.