Selama beberapa bulan sekarang kami telah mengomentari beberapa publikasi apa yang kita lakukan tentang pmasalah keamanan yang telah muncul di GitHub dan tentang langkah-langkah yang telah mereka rencanakan untuk diintegrasikan ke dalam platform untuk dapat mengatasi lebih jauh celah keamanan yang dimanfaatkan peretas untuk mengakses repositori proyek.
Dan sekarang saat ini, GitHub mengungkapkan bahwa itu akan membutuhkan bahwa semua pengguna yang menyumbangkan kode ke platform mengaktifkan satu atau lebih bentuk otentikasi dua faktor (2FA).
“GitHub berada dalam posisi yang unik di sini, hanya karena sebagian besar komunitas open source dan pembuat konten tinggal di GitHub.com, kami dapat membuat dampak positif yang signifikan terhadap keamanan ekosistem global dengan meningkatkan standar kebersihan informasi. ,” kata Mike Hanley, kepala petugas keamanan (CSO) GitHub. “Kami percaya ini benar-benar salah satu manfaat ekosistem terbaik yang dapat kami tawarkan, dan kami berkomitmen untuk memastikan bahwa setiap tantangan atau hambatan diatasi untuk memastikan adopsi yang berhasil. »
GitHub telah mengumumkan bahwa semua pengguna yang mengunggah kode ke situs harus mengaktifkan satu atau lebih bentuk otentikasi dua faktor (2FA) pada akhir tahun 2023 agar dapat terus menggunakan platform.
Kebijakan baru diumumkan dalam posting blog oleh Chief Security Officer (CSO) GitHub, Mike Hanley, yang menyoroti peran platform milik Microsoft dalam melindungi integritas proses pengembangan perangkat lunak dari ancaman yang dibuat oleh aktor jahat yang mengambil kendali. dari akun pengembang.
Tentu saja, pengalaman pengguna pengembang juga diperhitungkan, dan Mike Hanley menekankan bahwa persyaratan ini tidak akan merugikan Anda:
“GitHub berkomitmen untuk memastikan bahwa keamanan akun yang kuat tidak mengorbankan pengalaman pengembang yang hebat, dan tujuan akhir tahun 2023 kami memberi kami kesempatan untuk mengoptimalkannya. Seiring berkembangnya standar, kami akan terus secara aktif mengeksplorasi cara baru untuk mengautentikasi pengguna dengan aman, termasuk autentikasi tanpa kata sandi. Pengembang di seluruh dunia dapat menantikan lebih banyak opsi autentikasi dan pemulihan akun, serta
Meskipun otentikasi multi-faktor menawarkan perlindungan tambahan signifikan untuk akun online, Riset internal GitHub menunjukkan bahwa hanya 16,5% pengguna aktif (sekitar satu dari enam) saat ini mengaktifkan langkah-langkah keamanan yang ditingkatkan di akun mereka, jumlah yang sangat rendah mengingat platform dari basis pengguna harus menyadari risiko perlindungan hanya sandi.
Dengan mengarahkan pengguna ini ke standar minimum yang lebih tinggi perlindungan akun, GitHub berharap untuk memperkuat keamanan secara keseluruhan komunitas pengembangan perangkat lunak secara keseluruhan.
“Pada November 2021, GitHub berkomitmen untuk investasi baru dalam keamanan akun npm setelah akuisisi paket npm sebagai hasil dari kompromi akun pengembang tanpa mengaktifkan 2FA. Kami terus melakukan peningkatan pada keamanan akun npm dan juga berkomitmen untuk melindungi akun pengembang melalui GitHub.
“Kebanyakan pelanggaran keamanan bukanlah produk dari serangan zero-day yang eksotis, melainkan melibatkan serangan berbiaya rendah seperti rekayasa sosial, pencurian atau kebocoran kredensial, dan cara lain yang memberi penyerang berbagai akses ke akun korban dan sumber daya. mereka menggunakan. memiliki akses ke. Akun yang disusupi dapat digunakan untuk mencuri kode pribadi atau membuat perubahan berbahaya pada kode itu. Ini tidak hanya mengekspos orang dan organisasi yang terkait dengan akun yang disusupi, tetapi juga semua pengguna kode yang terpengaruh. Akibatnya, potensi dampak hilir pada ekosistem perangkat lunak yang lebih luas dan rantai pasokan sangat besar.
Eksperimen sudah dilakukan dengan sebagian kecil dari pengguna platform GitHub sudah menetapkan preseden untuk mewajibkan penggunaan 2FA dengan subset yang lebih kecil pengguna platform, setelah mengujinya dengan kontributor ke pustaka JavaScript populer yang didistribusikan dengan perangkat lunak manajemen paket npm.
Karena paket npm yang digunakan secara luas dapat diunduh jutaan kali per minggu, mereka adalah target yang sangat menarik bagi operator malware. Dalam beberapa kasus, peretas mengkompromikan akun kontributor npm dan menggunakannya untuk merilis pembaruan perangkat lunak yang dipasang oleh pencuri kata sandi dan penambang kripto.
Sebagai tanggapan, GitHub telah mewajibkan autentikasi dua faktor untuk pengelola paket 100 npm teratas sejak Februari 2022. Perusahaan berencana untuk memperluas persyaratan yang sama kepada kontributor 500 paket teratas pada akhir Mei.
Secara umum, ini berarti menetapkan tenggat waktu yang lama untuk membuat penggunaan 2FA menjadi wajib di seluruh situs dan merancang berbagai alur orientasi untuk mendorong pengguna menuju adopsi jauh sebelum batas waktu 2024, kata Hanley.
Mengamankan perangkat lunak sumber terbuka tetap menjadi perhatian mendesak bagi industri perangkat lunak, terutama setelah kerentanan log4j tahun lalu. Tetapi sementara kebijakan baru GitHub akan mengurangi beberapa ancaman, tantangan sistemik tetap ada: Banyak proyek perangkat lunak open source masih dikelola oleh sukarelawan yang tidak dibayar, dan menutup kesenjangan pendanaan dipandang sebagai masalah utama bagi industri teknologi secara keseluruhan.
Akhirnya jika Anda tertarik untuk mengetahui lebih banyak tentangnya, Anda dapat memeriksa detailnya Di tautan berikut.