GitHub ottaa käyttöön 2FA-vaatimuksen kaikille osallistuville kehittäjille 13. maaliskuuta alkaen
2 min. lukea
Julkaistu
Jaa tämä artikkeli
Paranna tätä ohjetta
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
GitHub ilmoitti, että se edellyttää kaikkien osallistuvien kehittäjien ottavan käyttöön kaksitasoinen todentaminen (2FA) alkaen 13. maaliskuuta. Yhtiön mukaan kyseessä on aloite ohjelmistokehityksen ja toimitusketjun turvaamiseksi.
"GitHub on keskeinen osa ohjelmistojen toimitusketjua, ja ohjelmistojen toimitusketjun turvaaminen alkaa kehittäjästä", GitHub sanoo uusimmassa julkaisussaan. blogi. "2FA-aloitteemme on osa alustanlaajuista pyrkimystä turvata ohjelmistokehitys parantamalla tilien turvallisuutta. Kehittäjien tilit ovat usein sosiaalisen manipuloinnin ja tilien haltuunoton (ATO) kohteena. Avoimen lähdekoodin ekosysteemin kehittäjien ja kuluttajien suojaaminen tämän tyyppisiltä hyökkäyksiltä on ensimmäinen ja kriittisin askel toimitusketjun turvaamisessa."
2FA-vaatimuksen käyttöönotto tulee olemaan asteittaista, ja yritys sanoi, että se tavoittaa ensin pienempiä kehittäjien ja ylläpitäjien ryhmiä. Lisäksi kehittäjäryhmien valinta perustuu GitHubin mukaan "heidän suorittamiinsa toimiin tai koodiin, johon he ovat osallistuneet". Tämä jatkuu ensi vuoden aikana.
Valituille ilmoitetaan sähköpostitse, ja he näkevät myös ilmoittautumisbannerin GitHub.comissa. Kun ilmoitus alkaa, kehittäjillä on 45 päivää aikaa määrittää 2FA. Tämän jakson jälkeen tulee vielä yksi viikko, mutta GitHubin mukaan pääsy tilille on tuolloin rajoitettu. Tämän myötä niitä, joille uudesta tietoturvavaatimuksesta ilmoitetaan varhain, kehotetaan korjaamaan 2FA mahdollisimman pian.
Toisaalta yritys kannustaa tekijöitä, joille uusi vaatimus tulee, valitsemaan turvallisemmat 2FA-menetelmät tekstiviestien sijaan.
"Suosittelemme vahvasti suojausavaimien ja TOTP:iden käyttöä aina kun mahdollista", blogissa lukee. "Tekstiviestipohjainen 2FA ei tarjoa samaa suojaustasoa, eikä sitä enää suositella NIST 800-63B:n mukaan. Vahvimmat yleisesti saatavilla olevat menetelmät ovat ne, jotka tukevat WebAuthn-suojattua todennusstandardia. Näihin menetelmiin kuuluvat fyysiset suojausavaimet sekä henkilökohtaiset laitteet, jotka tukevat teknologioita, kuten Windows Hello tai Face ID/Touch ID."
