Durant ja diversos mesos havíem comentat a diverses publicacions que realitzem sobre els prouredes de seguretat que s'han suscitat a GitHub i sobre les mesures que havien planejat integrar a la plataforma per poder contrarestar més les bretxes de seguretat que aprofitaven hackers per poder accedir a repositoris dels projectes.
I ara actualment, GitHub va donar a conèixer que requerirà que tots els usuaris que aportin codi a la plataforma habilitin una o més formes d'autenticació de dos factors (2FA).
«GitHub està en una posició única aquí, simplement pel fet que la gran majoria de les comunitats de codi obert i creadors que viuen a GitHub.com, podem tenir un impacte positiu significatiu en la seguretat de l'ecosistema global elevant el nivell d'higiene de la seguretat, ”, va dir Mike Hanley, director de seguretat (CSO) de GitHub. “Creiem que aquest és realment un dels millors beneficis per a tot l'ecosistema que podem oferir i estem compromesos a assegurar-nos de superar qualsevol desafiament o obstacle per garantir una adopció amb èxit. »
GitHub ha anunciat que tots els usuaris que carreguin codi al lloc web hauran d'habilitar una o més formes d'autenticació bidireccional de dos factors (2FA) a finals de 2023 per poder seguir utilitzant la plataforma.
La nova política va ser anunciada en una publicació de bloc pel director de seguretat (CSO) de GitHub, Mike Hanley, que va destacar el paper de la plataforma propietat de Microsoft en la protecció de la integritat del procés de desenvolupament de programari davant de les amenaces creades per actors malintencionats que prenen el control. de comptes de desenvolupador.
Per descomptat, l'experiència d'usuari del desenvolupador també es té en compte, i Mike Hanley emfatitza que aquest requisit no el perjudicarà:
«GitHub es compromet a garantir que la seguretat sòlida del compte no sigui a expenses d'una gran experiència de desenvolupador, i l'objectiu del 2023 ens dóna l'oportunitat d'optimitzar per això. A mesura que evolucionin els estàndards, continuarem explorant activament noves maneres d'autenticar els usuaris de forma segura, inclosa l'autenticació sense contrasenya. Els desenvolupadors de tot el món poden esperar més opcions d'autenticació i recuperació de comptes, així com
Tot i que l'autenticació multifactor ofereix una protecció addicional significativa per als comptes en línia, la investigació interna de GitHub mostra que només el 16,5% dels usuaris actius (al voltant d'un de cada sis) actualment habiliten mesures de seguretat millorades en comptes d'això, una xifra sorprenentment baixa atès que la plataforma des de la base d'usuaris ha de ser conscient dels riscos de la protecció només amb contrasenya.
En dirigir aquests usuaris a un estàndard mínim més alt de protecció de comptes, GitHub espera enfortir la seguretat general de la comunitat de desenvolupament de programari en conjunt.
“El novembre del 2021, GitHub es va comprometre amb noves inversions en seguretat de comptes npm després de l'adquisició de paquets npm com a resultat del compromís dels comptes de desenvolupador sense 2FA habilitat. Seguim fent millores en la seguretat dels comptes de npm i també ens comprometem a protegir els comptes dels desenvolupadors mitjançant GitHub.
“La majoria de les bretxes de seguretat no són el producte d'atacs exòtics de dia zero, sinó que involucren atacs de baix cost com ara enginyeria social, robatori o filtració de credencials i altres vies que brinden als atacants una àmplia gamma d'accés a les comptes de les víctimes i els recursos que utilitzen. tenir accés a. Els comptes compromesos es poden utilitzar per robar codi privat o fer canvis maliciosos en aquest codi. Això exposa no només les persones i organitzacions associades amb els comptes compromesos, sinó també tots els usuaris del codi afectat. Com a resultat, el potencial dimpacte descendent en lecosistema de programari més ampli i la cadena de subministrament és substancial.
Un experiment ja realitzat amb una fracció dun subconjunt dusuaris de la plataforma GitHub ja va asseure un precedent per exigir l'ús de 2FA amb un subconjunt més petit usuaris de la plataforma, després d'haver-ho provat amb col·laboradors de biblioteques de JavaScript populars distribuïdes amb el programari d'administració de paquets npm.
Atès que els paquets npm àmpliament utilitzats es poden descarregar milions de vegades per setmana, són un objectiu molt atractiu per als operadors de codi maliciós. En alguns casos, els pirates informàtics van comprometre els comptes dels col·laboradors de npm i els van fer servir per llançar actualitzacions de programari que van instal·lar lladres de contrasenyes i criptominers.
En resposta, GitHub ha fet que l'autenticació de dos factors sigui obligatòria per als mantenidors dels 100 paquets principals de npm des del febrer del 2022. La companyia planeja estendre els mateixos requisits als contribuents dels 500 paquets principals per a finals de maig.
En termes generals, això vol dir establir una data límit llarga per fer que l'ús de 2FA sigui obligatori a tot el lloc i dissenyar una varietat de fluxos dincorporació per impulsar els usuaris cap a ladopció molt abans de la data límit de 2024, va dir Hanley.
Assegurar el programari de codi obert continua sent una preocupació urgent per a la indústria del programari, especialment després de la vulnerabilitat log4j de l'any passat. Però si bé la nova política de GitHub mitigarà algunes amenaces, persisteixen els desafiaments sistèmics: molts projectes de programari de codi obert encara són mantinguts per voluntaris no remunerats, i tancar la bretxa de finançament es considera un problema important per a la indústria tecnològica en general.
Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.