Depuis plusieurs mois maintenant nous avions commenté plusieurs publications ce que nous faisons de la pproblèmes de sécurité qui ont surgi dans GitHub et sur les mesures qu'ils avaient prévu d'intégrer dans la plate-forme pour pouvoir contrer davantage les failles de sécurité dont les pirates profitaient pour accéder aux référentiels de projets.
Et maintenant Actuellement, GitHub a révélé qu'il faudra que tous les utilisateurs qui contribuent au code de la plateforme activer une ou plusieurs formes d'authentification à deux facteurs (2FA).
« GitHub est dans une position unique ici, simplement parce que la grande majorité des communautés et des créateurs open source vivent sur GitHub.com, nous pouvons avoir un impact positif significatif sur la sécurité de l'écosystème mondial en élevant la barre de la sécurité de l'information. », a déclaré Mike Hanley, directeur de la sécurité (CSO) de GitHub. "Nous pensons qu'il s'agit vraiment de l'un des meilleurs avantages que nous puissions offrir à l'échelle de l'écosystème, et nous nous engageons à faire en sorte que tous les défis ou obstacles soient surmontés pour garantir une adoption réussie. »
GitHub a annoncé que tous les utilisateurs téléchargeant du code sur le site devront activer une ou plusieurs formes d'authentification bidirectionnelle à deux facteurs (2FA) d'ici la fin de 2023 afin de continuer à utiliser la plate-forme.
La nouvelle politique a été annoncée dans un article de blog par Mike Hanley, Chief Security Officer (CSO) de GitHub, qui a souligné le rôle de la plate-forme propriétaire de Microsoft dans la protection de l'intégrité du processus de développement logiciel contre les menaces créées par des acteurs malveillants prenant le contrôle. de comptes de développeur.
Bien entendu, l'expérience utilisateur du développeur est également prise en compte, et Mike Hanley souligne que cette exigence ne vous fera pas de mal :
"GitHub s'engage à garantir qu'une sécurité de compte solide ne se fasse pas au détriment d'une excellente expérience de développeur, et notre objectif de fin 2023 nous donne la possibilité d'optimiser pour cela. À mesure que les normes évoluent, nous continuerons d'explorer activement de nouvelles façons d'authentifier les utilisateurs en toute sécurité, y compris l'authentification sans mot de passe. Les développeurs du monde entier peuvent s'attendre à plus d'options d'authentification et de récupération de compte, ainsi qu'à
Bien que l'authentification multifacteur offre une protection supplémentaire important pour les comptes en ligne, Les recherches internes de GitHub montrent que seulement 16,5 % des utilisateurs actifs (environ un sur six) permettent actuellement des mesures de sécurité renforcées dans leurs comptes, un nombre étonnamment bas étant donné que la plate-forme de la base d'utilisateurs doit être consciente des risques d'une protection par mot de passe uniquement.
En orientant ces utilisateurs vers une norme minimale plus élevée protection de compte, GitHub espère renforcer la sécurité globale de la communauté du développement logiciel dans son ensemble.
"En novembre 2021, GitHub s'est engagé à de nouveaux investissements dans la sécurité des comptes npm suite à l'acquisition de packages npm à la suite de la compromission des comptes de développeurs sans 2FA activé. Nous continuons d'améliorer la sécurité des comptes npm et nous nous engageons également à protéger les comptes des développeurs via GitHub.
"La plupart des failles de sécurité ne sont pas le produit d'attaques exotiques de type "zero-day", mais impliquent plutôt des attaques à faible coût telles que l'ingénierie sociale, le vol ou les fuites d'informations d'identification, et d'autres voies qui donnent aux attaquants un large éventail d'accès aux comptes des victimes et aux ressources. ils utilisent. avoir accès. Les comptes compromis peuvent être utilisés pour voler du code privé ou apporter des modifications malveillantes à ce code. Cela expose non seulement les personnes et les organisations associées aux comptes compromis, mais également tous les utilisateurs du code affecté. Par conséquent, le potentiel d'impact en aval sur l'écosystème logiciel et la chaîne d'approvisionnement au sens large est considérable.
Une expérience déjà faite avec une fraction d'un sous-ensemble d'utilisateurs de la plateforme GitHub a déjà créé un précédent pour exiger l'utilisation de 2FA avec un sous-ensemble plus petit des utilisateurs de la plate-forme, après l'avoir testé avec des contributeurs aux bibliothèques JavaScript populaires distribuées avec le logiciel de gestion de packages npm.
Étant donné que les packages npm largement utilisés peuvent être téléchargés des millions de fois par semaine, ils constituent une cible très attrayante pour les opérateurs de logiciels malveillants. Dans certains cas, les pirates ont compromis les comptes des contributeurs npm et les ont utilisés pour publier des mises à jour logicielles installées par des voleurs de mots de passe et des cryptomineurs.
En réponse, GitHub a rendu l'authentification à deux facteurs obligatoire pour les mainteneurs des 100 meilleurs packages npm depuis février 2022. La société prévoit d'étendre les mêmes exigences aux contributeurs des 500 meilleurs packages d'ici la fin mai.
En termes généraux, cela signifie fixer un long délai pour rendre l'utilisation de 2FA obligatoire à travers le site et concevoir une variété de flux d'intégration pour conduire les utilisateurs vers l'adoption bien avant la date limite de 2024, a déclaré Hanley.
La sécurisation des logiciels open source reste une préoccupation urgente pour l'industrie du logiciel, en particulier après la vulnérabilité log4j de l'année dernière. Mais si la nouvelle politique de GitHub atténuera certaines menaces, des défis systémiques subsistent : de nombreux projets de logiciels open source sont toujours maintenus par des bénévoles non rémunérés, et la réduction du déficit de financement est considérée comme un problème majeur pour l'industrie technologique dans son ensemble.
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.