▷ GitHub lanserar nya 2FA-mandat för kodutvecklare, bidragsgivare

GitHub introducerar nya regler kring utvecklare och tvåfaktorsautentisering (2FA) säkerhet.

På onsdagen sa det Microsoft-ägda kodförrådet att ändringar kommer att göras i befintliga autentiseringsregler som “en del av en plattformsomfattande ansträngning för att säkra mjukvarans ekosystem genom att förbättra kontosäkerheten.”

Enligt Mike Hanley, GitHubs Chief Security Officer (CSO), kommer GitHub att kräva att alla utvecklare bidrar med kod till plattformen för att möjliggöra minst en form av 2FA i slutet av 2023.

Öppen källkodsprojekt är populära och allmänt använda, värdefulla resurser för både individer och företag. Men om en hotaktör äventyrar en utvecklares konto kan detta leda till kapade repor, datastöld och projektavbrott.

Molnplattformsleverantören Heroku, som ägs av Salesforce, avslöjade en säkerhetsincident i april. En delmängd av dess privata git-förråd komprometterades efter stölden av OAuth-tokens, vilket potentiellt ledde till obehörig åtkomst till kundrepos.

GitHub säger att mjukvaruförsörjningskedjan “börjar med utvecklaren” och har skärpt sina kontroller med detta i åtanke – och noterar att utvecklarkonton är “vanliga mål för social ingenjörskonst och kontoövertagande.”

Nyligen har frågan om att skadliga paket laddats upp till GitHubs npm-register också tagit säkerheten för mjukvaruförsörjningskedjan i förgrunden.

I många fall är det inte en nolldagarssårbarhet som orsakar kollaps av projekt med öppen källkod eller ger utvecklare sömnlösa nätter. Istället är det de grundläggande svagheterna – som svaga lösenordsuppgifter eller stulen information – som cyberangripare utnyttjar.

Kodarkivet har dock också erkänt att det kan finnas en avvägning mellan säkerhet och användarupplevelse. Så, deadline 2023 kommer också att ge organisationen tid att “optimera” GitHub-domänen innan reglerna sätts i sten.

“Utvecklare överallt kan förvänta sig fler alternativ för säker autentisering och kontoåterställning, tillsammans med förbättringar som hjälper till att förhindra och återhämta sig från kontokompromisser”, kommenterade Hanley.

För GitHub kan 2FA-implementering bli ett akut problem, med endast 16,5 % av de aktiva GitHub-användarna och 6,44 % av npm-användarna som antar minst en form av 2FA.

GitHub har redan avskrivit grundläggande autentisering, med endast användarnamn och lösenord, till förmån för att integrera OAuth- eller Access-tokens. Organisationen har också infört e-postbaserad enhetsverifiering när 2FA inte har aktiverats.

Den nuvarande planen är att fortsätta en obligatorisk utrullning av 2FA på npm, flytta från de 100 bästa paketen till de 500, och sedan de med över 500 anhöriga eller en miljon hämtningar per vecka. Lärdomarna från denna testbädd kommer sedan att tillämpas på GitHub.

“Medan vi investerar djupt över vår plattform och den bredare industrin för att förbättra den övergripande säkerheten i mjukvaruförsörjningskedjan, är värdet av den investeringen i grunden begränsad om vi inte tar itu med den pågående risken för kontokompromisser”, sa Hanley. “Vårt svar på den här utmaningen fortsätter idag med vårt åtagande att driva förbättrad säkerhet i leveranskedjan genom säkra metoder för enskilda utvecklare.”

I april introducerade GitHub en ny skanningsfunktion för att skydda utvecklare och hindra dem från att oavsiktligt läcka hemligheter. Företagsanvändarfunktionen är en valfri kontroll för utvecklare att aktivera för användning under arbetsflöden och innan en git-push lanseras.