GitHub ora richiederà a tutti gli utenti che contribuiscono con il codice di utilizzare FA2 entro la fine del 2023

Logo GitHub

Ormai da diversi mesi avevamo commentato diverse pubblicazioni cosa facciamo per il pproblemi di sicurezza che sono sorte in GitHub e sulle misure che avevano pianificato di integrare nella piattaforma per poter contrastare in misura maggiore le lacune di sicurezza di cui hanno approfittato gli hacker per accedere ai repository dei progetti.

E adesso attualmente, GitHub ha rivelato che richiederà che tutti gli utenti che contribuiscono con il codice alla piattaforma abilitare una o più forme di autenticazione a due fattori (2FA).

"GitHub si trova in una posizione unica qui, semplicemente perché la stragrande maggioranza delle comunità open source e di creatori vive su GitHub.com, possiamo avere un impatto positivo significativo sulla sicurezza dell'ecosistema globale alzando il livello di igiene di GitHub .sicurezza", ha affermato Mike Hanley, Chief Security Officer (CSO) di GitHub. “Riteniamo che questo sia davvero uno dei migliori vantaggi a livello di ecosistema che possiamo offrire e ci impegniamo a garantire che eventuali sfide o ostacoli vengano superati per garantire un'adozione di successo. »

GitHub ha annunciato che tutti gli utenti che caricano codice sul sito dovranno abilitare una o più forme di autenticazione a due vie a due fattori (2FA) entro la fine del 2023 per poter continuare a utilizzare la piattaforma.

La nuova politica è stata annunciata in un post sul blog  di GitHub Chief Security Officer (CSO) Mike Hanley, che ha evidenziato il ruolo della piattaforma proprietaria di Microsoft nella protezione dell'integrità del processo di sviluppo del software dalle minacce create da attori malintenzionati che prendono il controllo. di account sviluppatore.

Naturalmente, viene presa in considerazione anche l'esperienza utente dello sviluppatore e Mike Hanley sottolinea che questo requisito non ti danneggerà:

"GitHub si impegna a garantire che una solida sicurezza dell'account non vada a scapito di un'ottima esperienza per gli sviluppatori e il nostro obiettivo per la fine del 2023 ci offre l'opportunità di ottimizzare per questo. Con l'evolversi degli standard, continueremo a esplorare attivamente nuovi modi per autenticare gli utenti in modo sicuro, inclusa l'autenticazione senza password. Gli sviluppatori di tutto il mondo possono aspettarsi più opzioni di autenticazione e recupero dell'account, oltre a

Sebbene l'autenticazione a più fattori offra una protezione aggiuntiva significativo per gli account online, La ricerca interna di GitHub mostra che solo il 16,5% degli utenti attivi (circa uno su sei) attualmente consentono misure di sicurezza rafforzate sui loro account, un numero sorprendentemente basso dato che la piattaforma dalla base di utenti deve essere consapevole dei rischi della protezione solo tramite password.

Indirizzando questi utenti a uno standard minimo più elevato protezione dell'account, GitHub spera di rafforzare la sicurezza generale della comunità di sviluppo software nel suo insieme.

"Nel novembre 2021, GitHub si è impegnata in nuovi investimenti nella sicurezza degli account npm a seguito dell'acquisizione di pacchetti npm a seguito della compromissione degli account degli sviluppatori senza 2FA abilitata. Continuiamo ad apportare miglioramenti alla sicurezza dell'account npm e ci impegniamo anche a proteggere gli account sviluppatore tramite GitHub.

"La maggior parte delle violazioni della sicurezza non sono il prodotto di esotici attacchi zero-day, ma coinvolgono invece attacchi a basso costo come ingegneria sociale, furto o perdite di credenziali e altre vie che offrono agli aggressori un'ampia gamma di accesso agli account delle vittime e alle risorse usano. avere accesso a. Gli account compromessi possono essere utilizzati per rubare codice privato o apportare modifiche dannose a quel codice. Ciò espone non solo le persone e le organizzazioni associate agli account compromessi, ma anche tutti gli utenti del codice interessato. Di conseguenza, il potenziale di impatto a valle sull'ecosistema software più ampio e sulla catena di approvvigionamento è sostanziale.

Un esperimento già fatto con una frazione di un sottoinsieme di utenti della piattaforma GitHub già stabilito un precedente per richiedere l'uso di 2FA con un sottoinsieme più piccolo degli utenti della piattaforma, dopo averlo testato con i contributori alle popolari librerie JavaScript distribuite con il software di gestione dei pacchetti npm.

Poiché i pacchetti npm ampiamente utilizzati possono essere scaricati milioni di volte alla settimana, sono un obiettivo molto interessante per gli operatori di malware. In alcuni casi, gli hacker hanno compromesso gli account dei contributori di npm e li hanno utilizzati per rilasciare aggiornamenti software installati da password stealer e crypto miner.

In risposta, GitHub ha reso obbligatoria l'autenticazione a due fattori per i manutentori dei primi 100 pacchetti npm da febbraio 2022. La società prevede di estendere gli stessi requisiti ai contributori dei primi 500 pacchetti entro la fine di maggio.

In termini generali, questo significa fissare una lunga scadenza per rendere obbligatorio l'uso della 2FA attraverso il sito e progettare una varietà di flussi di onboarding per guidare gli utenti verso l'adozione ben prima della scadenza del 2024, ha affermato Hanley.

La protezione del software open source rimane una preoccupazione pressante per l'industria del software, soprattutto dopo la vulnerabilità log4j dello scorso anno. Ma mentre la nuova politica di GitHub mitigherà alcune minacce, permangono sfide sistemiche: molti progetti di software open source sono ancora gestiti da volontari non retribuiti e colmare il divario di finanziamento è visto come un problema importante per l'industria tecnologica nel suo insieme.

Infine se sei interessato a saperne di più, puoi controllare i dettagli nel seguente link


Puoi essere il primo a lasciare un commento

Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.