GitHub kommer nu att kräva att alla användare som bidrar med kod använder FA2 i slutet av 2023

GitHub-logotyp

Sedan flera månader tillbaka vi hade kommenterat olika publikationer Vad gör vi åt sidansäkerhetsproblem som har uppstått i GitHub och om de åtgärder som de hade planerat att integrera i plattformen för att ytterligare motverka de säkerhetsintrång som hackare utnyttjade för att få tillgång till projektförråd.

Och nu för närvarande, GitHub avslöjade att det kommer att krävas att alla användare som bidrar med kod till plattformen aktivera en eller flera former av tvåfaktorsautentisering (2FA).

"GitHub har en unik position här, helt enkelt för att den stora majoriteten av open source-gemenskaper och skapare bor på GitHub.com, kan vi ha en betydande positiv inverkan på säkerheten för det globala ekosystemet genom att höja ribban för säkerhetshygien", säger Mike Hanley, GitHubs säkerhetschef (CSO). "Vi tror att detta verkligen är en av de bästa ekosystemomfattande fördelarna vi kan erbjuda, och vi är fast beslutna att se till att vi övervinner alla utmaningar eller hinder för att säkerställa en framgångsrik adoption. »

GitHub har meddelat att alla användare som laddar upp kod till webbplatsen kommer att behöva aktivera en eller flera former av tvåvägs tvåfaktorsautentisering (2FA) i slutet av 2023 för att kunna fortsätta använda plattformen.

Den nya policyn tillkännagavs i ett blogginlägg  av GitHub CSO Mike Hanley, som lyfte fram rollen för den Microsoft-ägda plattformen för att skydda integriteten i mjukvaruutvecklingsprocessen från hot skapade av illvilliga aktörer som tar över. av utvecklarkonton.

Naturligtvis tas även hänsyn till utvecklarens användarupplevelse, och Mike Hanley betonar att detta krav inte kommer att skada dig:

"GitHub är engagerad i att säkerställa att stark kontosäkerhet inte sker på bekostnad av en fantastisk utvecklarupplevelse, och vårt mål i slutet av 2023 ger oss möjlighet att optimera för det. När standarder utvecklas kommer vi att fortsätta att aktivt utforska nya sätt att säkert autentisera användare, inklusive lösenordslös autentisering. Utvecklare runt om i världen kan se fram emot fler alternativ för kontoautentisering och återställning, liksom

Även om multifaktorautentisering erbjuder ytterligare skydd viktigt för onlinekonton, intern GitHub-forskning visar att endast 16,5% av de aktiva användarna (ungefär en av sex) för närvarande möjliggör förbättrade säkerhetsåtgärder i sina konton, ett förvånansvärt lågt antal med tanke på att plattformen från användarbasen måste vara medveten om riskerna med lösenordsskydd.

Genom att rikta dessa användare till en högre minimistandard kontoskydd, GitHub hoppas kunna stärka den övergripande säkerheten av mjukvaruutvecklingsgemenskapen som helhet.

"I november 2021 åtog GitHub nya investeringar i npm-kontosäkerhet efter förvärvet av npm-paket som ett resultat av kompromissen mellan utvecklarkonton utan 2FA aktiverat. Vi fortsätter att göra förbättringar av npm-kontosäkerheten och är också engagerade i att skydda utvecklarkonton genom GitHub.

"De flesta säkerhetsintrång är inte produkten av exotiska nolldagsattacker, utan involverar istället lågkostnadsattacker som social ingenjörskonst, identitetsstöld eller läckage och andra vägar som ger angripare ett brett utbud av tillgång till offerkonton och de resurser de använder. ha tillgång till. Intrångade konton kan användas för att stjäla privat kod eller göra skadliga ändringar i den koden. Detta exponerar inte bara de individer och organisationer som är associerade med de inträngda kontona, utan också alla användare av den berörda koden. Som ett resultat är potentialen för nedåtgående inverkan på det bredare mjukvaruekosystemet och leveranskedjan betydande.

Ett experiment som redan är gjort med en bråkdel av en delmängd GitHub-plattformsanvändare redan skapat ett prejudikat för att tvinga användningen av 2FA med en mindre delmängd av användare av plattformen, efter att ha testat den med bidragsgivare till populära JavaScript-bibliotek distribuerade med npm-pakethanteringsprogramvara.

Eftersom mycket använda npm-paket kan laddas ner miljontals gånger per vecka, är de ett mycket attraktivt mål för skadlig programvara. I vissa fall äventyrade hackare kontona för npm-bidragsgivare och använde dem för att driva programuppdateringar som installerades av lösenordstjuvare och kryptominerare.

Som svar har GitHub gjort tvåfaktorsautentisering obligatoriskt för underhållare av paketen med 100 npm översta från och med februari 2022. Företaget planerar att utöka samma krav till bidragsgivare av de 500 bästa paketen i slutet av maj.

Generellt sett, detta innebär att sätta en lång tidsfrist för att göra användningen av 2FA obligatorisk över hela webbplatsen och designa en mängd olika introduktionsflöden för att driva användare mot adoption långt före deadline 2024, sa Hanley.

Att säkra programvara med öppen källkod är fortfarande ett akut problem för mjukvaruindustrin, särskilt efter förra årets log4j-sårbarhet. Men även om GitHubs nya policy kommer att mildra vissa hot, kvarstår systemutmaningar: Många mjukvaruprojekt med öppen källkod underhålls fortfarande av obetalda volontärer, och att täppa till finansieringsklyftan ses som en stor fråga för den tekniska industrin som helhet.

Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.


Bli först att kommentera

Lämna din kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade med *

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.