GitHub va cere acum tuturor utilizatorilor care contribuie la cod să folosească FA2 până la sfârșitul anului 2023

Sigla GitHub

De câteva luni acum comentasem mai multe publicaţii ce facem cu pprobleme de securitate care au apărut în GitHub și despre măsurile pe care plănuiseră să le integreze în platformă pentru a putea contracara într-o mai mare măsură lacunele de securitate de care au profitat hackerii pentru a accesa depozitele de proiecte.

Și acum în prezent, GitHub a dezvăluit că va necesita că toți utilizatorii care contribuie cu cod la platformă activați una sau mai multe forme de autentificare cu doi factori (2FA).

„GitHub se află într-o poziție unică aici, pur și simplu pentru că marea majoritate a comunităților și creatorilor open source trăiesc pe GitHub.com, putem avea un impact pozitiv semnificativ asupra securității ecosistemului global, ridicând ștacheta pentru igiena informațiilor. ”, a declarat Mike Hanley, ofițerul șef de securitate (CSO) al GitHub. „Credem că acesta este cu adevărat unul dintre cele mai bune beneficii la nivel de ecosistem pe care le putem oferi și ne angajăm să ne asigurăm că orice provocări sau obstacole sunt depășite pentru a asigura adoptarea cu succes. »

GitHub a anunțat că toți utilizatorii care încarcă cod pe site vor trebui să activeze una sau mai multe forme de autentificare bidirecțională cu doi factori (2FA) până la sfârșitul anului 2023 pentru a continua să utilizeze platforma.

Noua politică a fost anunțată într-o postare pe blog  de către GitHub Chief Security Officer (CSO) Mike Hanley, care a evidențiat rolul platformei proprietare Microsoft în protejarea integrității procesului de dezvoltare software de amenințările create de actorii rău intenționați care preiau controlul. a conturilor de dezvoltator.

Desigur, se ia în considerare și experiența utilizatorului dezvoltatorului, iar Mike Hanley subliniază că această cerință nu vă va răni:

„GitHub se angajează să se asigure că securitatea puternică a contului nu se face în detrimentul unei experiențe excelente pentru dezvoltatori, iar obiectivul nostru de la sfârșitul anului 2023 ne oferă oportunitatea de a ne optimiza pentru asta. Pe măsură ce standardele evoluează, vom continua să explorăm în mod activ noi modalități de a autentificare în siguranță a utilizatorilor, inclusiv autentificarea fără parolă. Dezvoltatorii din întreaga lume pot aștepta cu nerăbdare mai multe opțiuni de autentificare și de recuperare a contului, precum și

Deși autentificarea cu mai mulți factori oferă protecție suplimentară semnificativ pentru conturile online, Cercetarea internă a GitHub arată că doar 16,5% dintre utilizatorii activi (aproximativ unul din șase) să permită în prezent măsuri de securitate îmbunătățite pe conturile lor, un număr surprinzător de scăzut, având în vedere că platforma din baza de utilizatori trebuie să fie conștientă de riscurile protecției doar cu parolă.

Prin direcționarea acestor utilizatori către un standard minim mai ridicat protecția contului, GitHub speră să consolideze securitatea generală a comunității de dezvoltare software în ansamblu.

„În noiembrie 2021, GitHub s-a angajat să investească noi în securitatea contului npm în urma achiziției de pachete npm ca urmare a compromiterii conturilor de dezvoltator fără 2FA activat. Continuăm să îmbunătățim securitatea contului npm și, de asemenea, ne angajăm să protejăm conturile de dezvoltator prin GitHub.

„Majoritatea încălcărilor de securitate nu sunt produsul unor atacuri exotice zero-day, ci implică, în schimb, atacuri cu costuri reduse, cum ar fi ingineria socială, furtul sau scurgerile de acreditări și alte căi care oferă atacatorilor o gamă largă de acces la conturile victimelor și la resurse. ei folosesc. au acces la. Conturile compromise pot fi folosite pentru a fura cod privat sau pentru a face modificări rău intenționate la acel cod. Acest lucru expune nu numai persoanele și organizațiile asociate cu conturile compromise, ci și toți utilizatorii codului afectat. Ca urmare, potențialul de impact în aval asupra ecosistemului software mai larg și a lanțului de aprovizionare este substanțial.

Un experiment deja făcut cu o fracțiune dintr-un subset de utilizatori ai platformei GitHub a creat deja un precedent pentru necesitatea utilizării 2FA cu un subset mai mic a utilizatorilor platformei, după ce a testat-o ​​cu colaboratori la biblioteci JavaScript populare distribuite cu software-ul de gestionare a pachetelor npm.

Deoarece pachetele npm utilizate pe scară largă pot fi descărcate de milioane de ori pe săptămână, acestea sunt o țintă foarte atractivă pentru operatorii de programe malware. În unele cazuri, hackerii au compromis conturile colaboratorilor npm și le-au folosit pentru a lansa actualizări de software care au fost instalate de furatorii de parole și criptominerii.

Ca răspuns, GitHub a făcut ca autentificarea în doi factori să fie obligatorie pentru întreținerii celor mai bune pachete de 100 npm începând cu februarie 2022. Compania intenționează să extindă aceleași cerințe și la contribuatorii celor mai bune 500 de pachete până la sfârșitul lunii mai.

În termeni generali, aceasta înseamnă stabilirea unui termen lung pentru a face obligatorie utilizarea 2FA pe site și proiectează o varietate de fluxuri de onboarding pentru a conduce utilizatorii spre adoptare cu mult înainte de termenul limită din 2024, a spus Hanley.

Securizarea software-ului open source rămâne o preocupare presantă pentru industria software, mai ales după vulnerabilitatea log4j de anul trecut. Dar, în timp ce noua politică a GitHub va atenua unele amenințări, rămân provocări sistemice: multe proiecte de software open source sunt încă întreținute de voluntari neplătiți, iar reducerea decalajului de finanțare este văzută ca o problemă majoră pentru industria tehnologiei în ansamblu.

În cele din urmă dacă sunteți interesat să aflați mai multe despre asta, puteți verifica detaliile În următorul link.


Conținutul articolului respectă principiile noastre de etică editorială. Pentru a raporta o eroare, faceți clic pe aici.

Fii primul care comenteaza

Lasă comentariul tău

Adresa ta de email nu va fi publicată.

*

*

  1. Responsabil pentru date: Miguel Ángel Gatón
  2. Scopul datelor: Control SPAM, gestionarea comentariilor.
  3. Legitimare: consimțământul dvs.
  4. Comunicarea datelor: datele nu vor fi comunicate terților decât prin obligație legală.
  5. Stocarea datelor: bază de date găzduită de Occentus Networks (UE)
  6. Drepturi: în orice moment vă puteți limita, recupera și șterge informațiile.