Por vários meses agora havíamos comentado em várias publicações o que fazemos sobre o pproblemas de segurança que surgiram no GitHub e sobre as medidas que eles planejavam integrar na plataforma para poder neutralizar em maior medida as falhas de segurança que os hackers aproveitaram para acessar os repositórios do projeto.
E agora na atualidade, O GitHub divulgou que exigirá que todos os usuários que contribuem com código para a plataforma habilitar uma ou mais formas de autenticação de dois fatores (2FA).
“O GitHub está em uma posição única aqui, simplesmente porque a grande maioria das comunidades e criadores de código aberto vive no GitHub.com, podemos causar um impacto positivo significativo na segurança do ecossistema global elevando o nível de higiene da informação. segurança ”, disse Mike Hanley, diretor de segurança (CSO) do GitHub. “Acreditamos que este é realmente um dos melhores benefícios que podemos oferecer em todo o ecossistema e estamos comprometidos em garantir que quaisquer desafios ou obstáculos sejam superados para garantir uma adoção bem-sucedida. »
O GitHub anunciou que todos os usuários que fizerem upload de código para o site precisarão habilitar uma ou mais formas de autenticação de dois fatores bidirecional (2FA) até o final de 2023 para continuar usando a plataforma.
A nova política foi anunciada em uma postagem no blog pelo GitHub Chief Security Officer (CSO) Mike Hanley, que destacou o papel da plataforma proprietária da Microsoft na proteção da integridade do processo de desenvolvimento de software contra ameaças criadas por agentes maliciosos que assumem o controle. de contas de desenvolvedor.
Obviamente, a experiência do usuário do desenvolvedor também é levada em consideração, e Mike Hanley enfatiza que esse requisito não o prejudicará:
“O GitHub está comprometido em garantir que a segurança forte da conta não prejudique uma ótima experiência do desenvolvedor, e nossa meta para o final de 2023 nos dá a oportunidade de otimizar isso. À medida que os padrões evoluem, continuaremos a explorar ativamente novas maneiras de autenticar usuários com segurança, incluindo autenticação sem senha. Desenvolvedores de todo o mundo podem esperar mais opções de autenticação e recuperação de conta, bem como
Embora a autenticação multifator ofereça proteção adicional significativo para contas online, A pesquisa interna do GitHub mostra que apenas 16,5% dos usuários ativos (cerca de um em cada seis) atualmente habilitar medidas de segurança aprimoradas em suas contas, um número surpreendentemente baixo, uma vez que a plataforma da base de usuários deve estar ciente dos riscos da proteção somente por senha.
Ao direcionar esses usuários para um padrão mínimo mais alto proteção de conta, GitHub espera fortalecer a segurança geral da comunidade de desenvolvimento de software como um todo.
“Em novembro de 2021, o GitHub se comprometeu com novos investimentos em segurança de contas npm após a aquisição de pacotes npm como resultado do comprometimento de contas de desenvolvedor sem 2FA ativado. Continuamos a fazer melhorias na segurança da conta npm e também estamos comprometidos em proteger as contas de desenvolvedor por meio do GitHub.
“A maioria das violações de segurança não é produto de ataques exóticos de dia zero, mas envolve ataques de baixo custo, como engenharia social, roubo ou vazamento de credenciais e outros caminhos que dão aos invasores uma ampla gama de acesso às contas das vítimas e aos recursos eles usam. ter acesso. Contas comprometidas podem ser usadas para roubar código privado ou fazer alterações maliciosas nesse código. Isso expõe não apenas as pessoas e organizações associadas às contas comprometidas, mas também todos os usuários do código afetado. Como resultado, o potencial de impacto downstream no ecossistema de software mais amplo e na cadeia de suprimentos é substancial.
Um experimento já feito com uma fração de um subconjunto de usuários da plataforma GitHub já estabeleceu um precedente para exigir o uso de 2FA com um subconjunto menor dos usuários da plataforma, depois de testá-la com colaboradores de bibliotecas JavaScript populares distribuídas com o software de gerenciamento de pacotes npm.
Como os pacotes npm amplamente usados podem ser baixados milhões de vezes por semana, eles são um alvo muito atraente para os operadores de malware. Em alguns casos, os hackers comprometeram as contas dos contribuidores do npm e as usaram para liberar atualizações de software que foram instaladas por ladrões de senhas e mineradores de criptografia.
Em resposta, o GitHub tornou a autenticação de dois fatores obrigatória para os mantenedores dos 100 principais pacotes npm desde fevereiro de 2022. A empresa planeja estender os mesmos requisitos aos contribuidores dos 500 principais pacotes até o final de maio.
Em termos gerais, isso significa definir um prazo longo para tornar obrigatório o uso de 2FA em todo o site e projetar uma variedade de fluxos de integração para levar os usuários à adoção bem antes do prazo de 2024, disse Hanley.
Proteger o software de código aberto continua sendo uma preocupação premente para a indústria de software, especialmente após a vulnerabilidade log4j do ano passado. Mas, embora a nova política do GitHub mitiga algumas ameaças, os desafios sistêmicos permanecem: muitos projetos de software de código aberto ainda são mantidos por voluntários não remunerados, e fechar a lacuna de financiamento é visto como um problema importante para o setor de tecnologia como um todo.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir.