Sinds een aantal maanden we hadden commentaar op verschillende publicaties wat doen we aan de pveiligheidsproblemen die zijn ontstaan in GitHub en over de maatregelen die ze van plan waren te integreren in het platform om de beveiligingslacunes waar hackers misbruik van maakten om toegang te krijgen tot projectrepositories, in grotere mate te kunnen opvangen.
En nu momenteel, GitHub heeft bekendgemaakt dat het vereist: dat alle gebruikers die code bijdragen aan het platform een of meer vormen van tweefactorauthenticatie (2FA) inschakelen.
"GitHub bevindt zich hier in een unieke positie, simpelweg omdat de overgrote meerderheid van de open source- en creator-gemeenschappen op GitHub.com leven, kunnen we een aanzienlijke positieve impact hebben op de veiligheid van het wereldwijde ecosysteem door de lat voor hygiëne van de GitHub hoger te leggen. beveiliging”, zegt Mike Hanley, Chief Security Officer (CSO) van GitHub. "Wij geloven dat dit echt een van de beste ecosysteembrede voordelen is die we kunnen bieden, en we zijn vastbesloten ervoor te zorgen dat alle uitdagingen of obstakels worden overwonnen om een succesvolle adoptie te garanderen. »
GitHub heeft aangekondigd dat alle gebruikers die code naar de site uploaden, tegen eind 2 een of meer vormen van tweerichtings-tweefactorauthenticatie (2023FA) moeten inschakelen om het platform te kunnen blijven gebruiken.
Het nieuwe beleid is aangekondigd in een blogpost door GitHub Chief Security Officer (CSO) Mike Hanley, die de rol benadrukte van het eigen platform van Microsoft bij het beschermen van de integriteit van het softwareontwikkelingsproces tegen bedreigingen die worden veroorzaakt door kwaadwillende actoren die de controle overnemen. van ontwikkelaarsaccounts.
Natuurlijk wordt er ook rekening gehouden met de gebruikerservaring van de ontwikkelaar, en Mike Hanley benadrukt dat deze vereiste je geen pijn zal doen:
“GitHub zet zich in om ervoor te zorgen dat een sterke accountbeveiliging niet ten koste gaat van een geweldige ontwikkelaarservaring, en ons doel voor eind 2023 geeft ons de mogelijkheid om daarvoor te optimaliseren. Naarmate de normen evolueren, zullen we actief blijven zoeken naar nieuwe manieren om gebruikers veilig te authenticeren, inclusief authenticatie zonder wachtwoord. Ontwikkelaars over de hele wereld kunnen uitkijken naar meer opties voor authenticatie en accountherstel, evenals:
Hoewel multi-factor authenticatie extra bescherming biedt belangrijk voor online accounts, Uit het interne onderzoek van GitHub blijkt dat slechts 16,5% van de actieve gebruikers (ongeveer een op de zes) momenteel verbeterde beveiligingsmaatregelen inschakelen op hun accounts, een verrassend laag aantal, aangezien het platform van de gebruikersgroep zich bewust moet zijn van de risico's van alleen wachtwoordbeveiliging.
Door deze gebruikers naar een hogere minimumstandaard te leiden accountbeveiliging, GitHub hoopt de algehele veiligheid te versterken van de softwareontwikkelingsgemeenschap als geheel.
“In november 2021 heeft GitHub zich gecommitteerd aan nieuwe investeringen in npm-accountbeveiliging na de overname van npm-pakketten als gevolg van het compromitteren van ontwikkelaarsaccounts zonder 2FA ingeschakeld. We blijven verbeteringen aanbrengen in de beveiliging van npm-accounts en zijn ook toegewijd aan het beschermen van ontwikkelaarsaccounts via GitHub.
“De meeste inbreuken op de beveiliging zijn niet het product van exotische zero-day-aanvallen, maar hebben betrekking op goedkope aanvallen zoals social engineering, diefstal van inloggegevens of lekken, en andere manieren die aanvallers een breed scala aan toegang geven tot accounts van slachtoffers en de middelen ze gebruiken. toegang hebben. Gecompromitteerde accounts kunnen worden gebruikt om privécode te stelen of kwaadaardige wijzigingen in die code aan te brengen. Dit onthult niet alleen de mensen en organisaties die zijn gekoppeld aan de gecompromitteerde accounts, maar ook alle gebruikers van de getroffen code. Als gevolg hiervan is het potentieel voor downstream-impact op het bredere software-ecosysteem en de toeleveringsketen aanzienlijk.
Een experiment al gedaan met een fractie van een subset van GitHub-platformgebruikers heeft al een precedent geschapen voor het vereisen van het gebruik van 2FA met een kleinere subset van platformgebruikers, na het te hebben getest met bijdragers aan populaire JavaScript-bibliotheken die worden gedistribueerd met npm-pakketbeheersoftware.
Aangezien veelgebruikte npm-pakketten miljoenen keren per week kunnen worden gedownload, zijn ze een zeer aantrekkelijk doelwit voor malware-operators. In sommige gevallen hebben hackers de accounts van npm-bijdragers gecompromitteerd en gebruikt om software-updates vrij te geven die zijn geïnstalleerd door wachtwoordstelers en cryptominers.
Als reactie hierop heeft GitHub sinds februari 100 twee-factor-authenticatie verplicht gesteld voor beheerders van de top 2022 npm-pakketten. Het bedrijf is van plan om tegen eind mei dezelfde vereisten uit te breiden naar bijdragers van de 500 beste pakketten.
In algemene termen, dit betekent een lange deadline stellen om het gebruik van 2FA verplicht te stellen over de hele site en ontwerp een verscheidenheid aan onboarding-stromen om gebruikers ruim voor de deadline van 2024 naar adoptie te leiden, zei Hanley.
Het beveiligen van open source-software blijft een dringende zorg voor de software-industrie, vooral na de log4j-kwetsbaarheid van vorig jaar. Maar hoewel het nieuwe beleid van GitHub sommige bedreigingen zal verminderen, blijven er systemische uitdagingen: veel open source-softwareprojecten worden nog steeds onderhouden door onbetaalde vrijwilligers en het dichten van de financieringskloof wordt gezien als een groot probleem voor de technische industrie als geheel.
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.