Nel tentativo di proteggere ulteriormente gli account degli sviluppatori e il codice ospitato sulla sua piattaforma, GitHub ha annunciato che i suoi utenti dovranno registrarsi per l'autenticazione a due fattori (2FA) entro la fine del prossimo anno.
In particolare, chiunque contribuisca con il codice sulla piattaforma di proprietà di Microsoft dovrà abilitare una o più forme di 2FA.
Secondo un nuovo post sul blog del direttore della sicurezza di GitHub Mike Hanley, la catena di fornitura del software inizia con gli sviluppatori e gli account degli sviluppatori sono spesso l'obiettivo dell'ingegneria sociale e dell'acquisizione di account. Proteggendo gli sviluppatori da questi tipi di attacchi, l'azienda sta compiendo il primo e più importante passo nella protezione della catena di fornitura del software.
In futuro, GitHub prevede di esplorare nuovi modi per autenticare in modo sicuro i propri utenti, inclusa l'autenticazione senza password. In effetti, l'anno scorso l'azienda ha aggiunto la possibilità di utilizzare le chiavi di sicurezza per l'autenticazione come parte del suo sforzo per passare a un futuro senza password.
Protezione della catena di fornitura del software
Nel novembre dello scorso anno, GitHub si è impegnata in nuovi investimenti nella sicurezza dell'account npm a seguito dell'acquisizione di pacchetti npm a seguito della compromissione degli account sviluppatore senza 2FA abilitati.
Sebbene le vulnerabilità zero-day ricevano molta attenzione online, gli attacchi a basso costo come l'ingegneria sociale, il furto di credenziali o la fuga di dati sono in realtà responsabili della maggior parte delle vulnerabilità della sicurezza.
Gli account compromessi su GitHub possono essere utilizzati per rubare codice privato o persino apportare modifiche dannose a quel codice. Sfortunatamente, non solo le persone e le loro organizzazioni associate a questi account compromessi sono a rischio, ma anche tutti gli utenti del codice interessato.
La migliore difesa contro gli account utente compromessi consiste nell'andare oltre l'autenticazione di base basata su password. Tuttavia, solo il 16,5% di tutti gli utenti GitHub attivi oggi e il 6,44% degli utenti npm utilizzano una o più forme di 2FA.
Gli utenti di GitHub hanno tutto il tempo per prepararsi a questo cambiamento e la società ha recentemente rilasciato 2FA per GitHub mobile su iOS e Android. Coloro che sono interessati a imparare come configurare GitHub Mobile 2FA possono fare riferimento a questo documento di supporto per iniziare.