Обновления в GitHub для обеспечения максимальной безопасности

GitHub потребует от всех пользователей, которые вносят код на платформу, использовать 2FA в рамках своих последних улучшений безопасности.

Количество атак на цепочку поставок программного обеспечения растет. GitHub, у которого более 83 миллионов пользователей, создающих код, делает все возможное, чтобы защитить разработчиков и цепочку поставок программного обеспечения, объявив об этом важном изменении политики.

«Мы в GitHub считаем, что наше уникальное положение в качестве дома для всех разработчиков дает нам возможность и ответственность поднимать планку безопасности в экосистеме разработки программного обеспечения», — написал Майк Хэнли, директор по безопасности GitHub, в своем блоге.

«Несмотря на то, что мы вкладываем значительные средства в нашу платформу и в более широкую отрасль, чтобы улучшить общую безопасность цепочки поставок программного обеспечения, ценность этих инвестиций принципиально ограничена, если мы не решим постоянный риск компрометации аккаунта».

GitHub обязался инвестировать в системы защиты учетных записей npm после того, как компрометация учетных записей без включенной 2FA привела к захвату пакетов.

Сегодня менее 20% юзеров GitHub и 6,44% пользователей npm используют предложенные формы двухфакторной аутентификации.

Предыдущие усилия, предпринятые GitHub для защиты разработчиков, включают поиск и аннулирование известных скомпрометированных пользовательских паролей, предложение надежной поддержки ключей безопасности WebAuthn и регистрацию всех издателей npm в расширенной проверке входа.

По итогу изменения политики GitHub потребует, чтобы все учетные записи разработчиков включали одну или несколько форм 2FA к концу 2023 года.

Мы попросили GitHub прокомментировать, почему было принято решение о таком длительном переходном периоде, и вот ответ:

«Хотя мы рады улучшить внедрение 2FA, мы также понимаем, что безопасность, которую невозможно использовать, не является значимой безопасностью. Если вы потратите время на то, чтобы предоставить разработчикам простой и доступный опыт, это поможет нам обеспечить успешное развертывание, а также поможет нормализовать двухфакторную аутентификацию как то, что не должно рассматриваться как неудобное.

Мы верим, что время и инвестиции позволят нам сделать опыт еще более приятным для достижения нашей цели — улучшить внедрение. Мы также добились больших успехов в поэтапном внедрении двухфакторной аутентификации для npm. Это позволило нам убедиться, что мы движемся в правильном направлении, собрать отзывы клиентов и при необходимости адаптировать наш подход».

Хотя приятно видеть, что GitHub признает риски скомпрометированных учетных записей, многие по-прежнему будут сомневаться в необходимости такой длительной задержки в реализации политики, учитывая нынешние повышенные риски.

Растущее число сервисов уже требует 2FA, и мы уверены, что GitHub и его пользователи смогут сделать то же самое к концу этого года, чтобы предотвратить дальнейшие атаки со скомпрометированных учетных записей.