GitHub aplicará 2FA para todos os contribuidores de código até o ultimate de 2023

Deixe o Boletim OSS Undertaking guie sua jornada de código aberto! Assine aqui.

O GitHub anunciou que a autenticação de dois fatores (2FA) será obrigatória para todos os contribuidores de código por meio do GitHub.com até o ultimate de 2023, com base em uma série de desenvolvimentos de segurança recentes no Plataforma de hospedagem de código de propriedade da Microsoft.

Enquanto ataques sofisticados de dia 0 são uma ameaça actual para empresas em todo o espectro commercial, o fato é que a maioria das brechas de segurança está inativa ao simples erro humano ou manipulação, seja engenharia social, roubo de credenciais ou outros pontos de entrada de baixa barreira nas contas de trabalho dos funcionários. E é por isso 2FA pode ser tão útil mecanismo para proteger sistemas críticos de negócios, pois significa que, se um agente mal-intencionado obtiver credenciais de login privadas, será muito mais difícil explorá-las.

Empurrão 2FA do GitHub

Costas em novembroo GitHub respondeu a recentes aquisições de pacotes NPM resultantes de contas comprometidas, incluindo um com mais de 7 milhões de downloads semanais, tornando o 2FA obrigatório. Esse processo começou a funcionar em fevereiro, quando o GitHub impôs o 2FA para todos os mantenedores dos 100 pacotes de registro NPM mais populares, e no mês seguinte tudo As contas do NPM foram registradas automaticamente no programa de verificação de login aprimorado do GitHub. No ultimate deste mês, o GitHub disse que inscreverá todos os mantenedores dos 500 principais pacotes NPM para 2FA, enquanto aqueles com mais de 500 dependências ou 1 milhão de downloads semanais serão adicionados ao combine no terceiro trimestre de 2022.

E as lições que o GitHub obtém desse lançamento incremental para pacotes NPM serão aplicadas ao seu esforço mais amplo para tornar o 2FA obrigatório no GitHub.com.

De muitas maneiras, isso já faz muito pace. Uma conta comprometida pode ser usada para furtar código privado ou enviar alterações maliciosas pela cadeia de fornecimento de instrument, causando todo tipo de dano incalculável. Mas apesar da introdução de um mecanismo 2FA opcional caminho de volta em 2013hoje é usado por apenas 16,5% dos usuários ativos do GitHub.

Antes do anúncio de hoje, o GitHub estabeleceu as bases para o florescimento do 2FA, adicionando suporte para chaves de segurança física de terceiros um pace atrás, e então tornando o aplicativo móvel do GitHub de outra maneira para autenticar logins by the use of 2FA.

O próximo passo óbvio é tornar o 2FA obrigatório para todos os usuários do GitHub.com, algo que o GitHub levará de agora até o prazo ultimate de 2023. Nos meses seguintes, o GitHub planeja introduzir “mais opções de segurança autenticação e recuperação de conta”, de acordo com o diretor de segurança do GitHub, Mike Hanley.

“A cadeia de suprimentos de instrument começa com o desenvolvedor – as contas do desenvolvedor são alvos frequentes de engenharia social e controle de contas, e proteger os desenvolvedores desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de suprimentos”, escreveu Hanley em um publish no weblog. . “O GitHub está empenhado em garantir que a segurança distinctiveness da conta não prejudique uma ótima experiência para os desenvolvedores, e nossa meta para o ultimate de 2023 nos dá a oportunidade de otimizar isso.”

Vale a pena notar que a postura 2FA obrigatória do GitHub se aplicará a todos os contribuidores individuais de projetos públicos de código aberto. Empresas e usuários corporativos também podem exigir 2FA para todos os membros de sua organização, embora isso permaneça opcional.