A GitHub március 2-tól bevezeti a 13FA követelményt minden közreműködő fejlesztő számára
2 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
GitHub bejelentette, hogy minden közreműködő fejlesztőnek engedélyeznie kell kétfaktoros hitelesítés (2FA) március 13-tól. A cég szerint ez a szoftverfejlesztés és az ellátási lánc biztonságossá tételét célzó kezdeményezés.
„A GitHub központi szerepet tölt be a szoftverellátási láncban, és a szoftverellátási lánc biztonsága a fejlesztőnél kezdődik” – mondja a GitHub legújabb közleményében. blog. „2FA-kezdeményezésünk annak a platformszintű erőfeszítésnek a része, amelynek célja a szoftverfejlesztés biztonságosabbá tétele a fiókok biztonságának javításával. A fejlesztői fiókok gyakori célpontjai a social engineering és a fiókátvétel (ATO) számára. A nyílt forráskódú ökoszisztéma fejlesztőinek és fogyasztóinak védelme az ilyen típusú támadásokkal szemben az első és legkritikusabb lépés az ellátási lánc biztonsága felé.”
A 2FA követelmény bevezetése fokozatos lesz, és a cég azt mondta, hogy először a fejlesztők és adminisztrátorok kisebb csoportjait fogja elérni. A GitHub szerint továbbá a fejlesztők csoportjainak kiválasztása „az általuk végrehajtott műveletek vagy az általuk használt kód alapján történik”. Ez a következő évben is folytatódik.
A kiválasztottakat e-mailben értesítjük, és a GitHub.com-on egy regisztrációs szalaghirdetés is megjelenik. Amint az értesítés elindul, a fejlesztőknek 45 napjuk lesz a 2FA beállítására. Ezt az időszakot követően újabb egy héttel hosszabbítják meg, de a GitHub szerint a fiókhoz való hozzáférés ekkor korlátozott lesz. Ezzel azoknak, akik korán értesülnek az új biztonsági követelményről, azt tanácsolják, hogy a lehető leghamarabb javítsák ki a 2FA-t.
Másrészt a cég arra biztatja azokat a közreműködőket, akiknek új követelmény lesz, hogy az SMS helyett válasszanak a biztonságosabb 2FA módszereket.
"Határozottan javasoljuk a biztonsági kulcsok és TOTP-k használatát, ahol csak lehetséges" - olvasható a blogban. „Az SMS-alapú 2FA nem nyújt ugyanolyan szintű védelmet, és a NIST 800-63B szerint már nem ajánlott. A legerősebb széles körben elérhető módszerek azok, amelyek támogatják a WebAuthn biztonságos hitelesítési szabványt. Ezek a módszerek közé tartoznak a fizikai biztonsági kulcsok, valamint a technológiákat támogató személyes eszközök, például a Windows Hello vagy a Face ID/Touch ID."