Durante ya varios meses habíamos comentado en diversas publicaciones que realizamos sobre los problemas de seguridad que se han suscitado en GitHub y sobre las medidas que habían planeado integrar en la plataforma para poder contrarrestar en mayor medida las brechas de seguridad que aprovechaban hackers para poder acceder a repositorios de los proyectos.
Y ahora en la actualidad, GitHub dio a conocer que requerirá que todos los usuarios que aporten código a la plataforma habiliten una o más formas de autenticación de dos factores (2FA).
«GitHub está en una posición única aquí, simplemente debido a que la gran mayoría de las comunidades de código abierto y creadores que viven en GitHub.com, podemos tener un impacto positivo significativo en la seguridad del ecosistema global elevando el nivel de higiene de la seguridad, ”, dijo Mike Hanley, director de seguridad (CSO) de GitHub. “Creemos que este es realmente uno de los mejores beneficios para todo el ecosistema que podemos ofrecer, y estamos comprometidos a asegurarnos de superar cualquier desafío u obstáculo para garantizar una adopción exitosa. »
GitHub ha anunciado que todos los usuarios que carguen código en el sitio deberán habilitar una o más formas de autenticación bidireccional de dos factores (2FA ) a finales de 2023 para poder seguir utilizando la plataforma.
La nueva política fue anunciada en una publicación de blog por el director de seguridad (CSO) de GitHub, Mike Hanley, quien destacó el papel de la plataforma propiedad de Microsoft en la protección de la integridad del proceso de desarrollo de software frente a las amenazas creadas por actores malintencionados que toman el control. de cuentas de desarrollador.
Por supuesto, la experiencia de usuario del desarrollador también se tiene en cuenta, y Mike Hanley enfatiza que este requisito no lo perjudicará:
«GitHub se compromete a garantizar que la seguridad sólida de la cuenta no sea a expensas de una gran experiencia de desarrollador, y nuestro fin- El objetivo de 2023 nos da la oportunidad de optimizar para eso. A medida que evolucionen los estándares, continuaremos explorando activamente nuevas formas de autenticar a los usuarios de forma segura, incluida la autenticación sin contraseña. Los desarrolladores de todo el mundo pueden esperar más opciones de autenticación y recuperación de cuentas, así como
Aunque la autenticación multifactor ofrece una protección adicional significativa para las cuentas en línea, la investigación interna de GitHub muestra que solo el 16,5 % de los usuarios activos (alrededor de uno de cada seis) actualmente habilitan medidas de seguridad mejoradas en sus cuentas, una cifra sorprendentemente baja dado que la plataforma desde la base de usuarios debe ser consciente de los riesgos de la protección solo con contraseña.
Al dirigir a estos usuarios a un estándar mínimo más alto de protección de cuentas, GitHub espera fortalecer la seguridad general de la comunidad de desarrollo de software en su conjunto.
“En noviembre de 2021, GitHub se comprometió con nuevas inversiones en seguridad de cuentas npm luego de la adquisición de paquetes npm como resultado del compromiso de las cuentas de desarrollador sin 2FA habilitado. Seguimos realizando mejoras en la seguridad de las cuentas de npm y también nos comprometemos a proteger las cuentas de los desarrolladores mediante GitHub.
“La mayoría de las brechas de seguridad no son el producto de ataques exóticos de día cero, sino que involucran ataques de bajo costo como ingeniería social, robo o filtración de credenciales y otras vías que brindan a los atacantes una amplia gama de acceso a las cuentas de las víctimas y los recursos que utilizan. tener acceso a. Las cuentas comprometidas se pueden usar para robar código privado o realizar cambios maliciosos en ese código. Esto expone no solo a las personas y organizaciones asociadas con las cuentas comprometidas, sino también a todos los usuarios del código afectado. Como resultado, el potencial de impacto descendente en el ecosistema de software más amplio y la cadena de suministro es sustancial.
Un experimento ya realizado con una fracción de un subconjunto de usuarios de la plataforma GitHub ya sentó un precedente para exigir el uso de 2FA con un subconjunto más pequeño de usuarios de la plataforma, después de haberlo probado con colaboradores de bibliotecas de JavaScript populares distribuidas con el software de administración de paquetes npm.
Dado que los paquetes npm ampliamente utilizados se pueden descargar millones de veces por semana, son un objetivo muy atractivo para los operadores de malware. En algunos casos, los piratas informáticos comprometieron las cuentas de los colaboradores de npm y las usaron para lanzar actualizaciones de software que instalaron ladrones de contraseñas y criptomineros.
En respuesta, GitHub ha hecho que la autenticación de dos factores sea obligatoria para los mantenedores de los 100 paquetes principales de npm desde febrero de 2022. La compañía planea extender los mismos requisitos a los contribuyentes de los 500 paquetes principales para fines de mayo.
En términos generales, esto significa establecer una fecha límite larga para hacer que el uso de 2FA sea obligatorio en todo el sitio y diseñar una variedad de flujos de incorporación para impulsar a los usuarios hacia la adopción mucho antes de la fecha límite de 2024, dijo Hanley.
Asegurar el software de código abierto sigue siendo una preocupación apremiante para la industria del software, especialmente después de la vulnerabilidad log4j del año pasado. Pero si bien la nueva política de GitHub mitigará algunas amenazas, persisten los desafíos sistémicos: muchos proyectos de software de código abierto aún son mantenidos por voluntarios no remunerados, y cerrar la brecha de financiamiento se considera un problema importante para la industria tecnológica en general.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.