GitHub implementerà il requisito 2FA per tutti gli sviluppatori che contribuiscono a partire dal 13 marzo
2 minuto. leggere
Edizione del
Condividi questo articolo
Migliora questa guida
Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più
GitHub ha annunciato che richiederà l'abilitazione a tutti gli sviluppatori che contribuiscono autenticazione a due fattori (2FA) a partire dal 13 marzo. Secondo la società, si tratta di un'iniziativa per garantire lo sviluppo del software e la catena di fornitura.
"GitHub è fondamentale per la catena di fornitura del software e la protezione della catena di fornitura del software inizia con lo sviluppatore", afferma GitHub nel suo ultimo blog. “La nostra iniziativa 2FA fa parte di uno sforzo a livello di piattaforma per proteggere lo sviluppo del software migliorando la sicurezza dell'account. Gli account degli sviluppatori sono obiettivi frequenti per l'ingegneria sociale e l'acquisizione di account (ATO). Proteggere gli sviluppatori e i consumatori dell'ecosistema open source da questi tipi di attacchi è il primo e più critico passo verso la sicurezza della supply chain".
L'implementazione del requisito 2FA sarà graduale e la società ha affermato che avrebbe prima contattato gruppi più piccoli di sviluppatori e amministratori. Inoltre, la selezione dei gruppi di sviluppatori sarà "basata sulle azioni che hanno intrapreso o sul codice a cui hanno contribuito", secondo GitHub. Ciò continuerà nel corso del prossimo anno.
Coloro che verranno selezionati riceveranno una notifica via e-mail e vedranno anche un banner di iscrizione su GitHub.com. Una volta avviata la notifica, gli sviluppatori avranno 45 giorni di tempo per configurare la loro 2FA. Ci sarà un'altra estensione di una settimana dopo questo periodo, ma l'accesso all'account sarà limitato in quel momento, secondo GitHub. Con questo, si consiglia a coloro che verranno informati in anticipo del nuovo requisito di sicurezza di correggere il proprio 2FA il prima possibile.
D'altra parte, l'azienda incoraggia i contributori che avranno il nuovo requisito a optare per metodi 2FA più sicuri invece di SMS.
"Raccomandiamo vivamente l'uso di chiavi di sicurezza e TOTP ove possibile", si legge nel blog. “Il 2FA basato su SMS non fornisce lo stesso livello di protezione e non è più raccomandato dal NIST 800-63B. I metodi più potenti ampiamente disponibili sono quelli che supportano lo standard di autenticazione sicura WebAuthn. Questi metodi includono chiavi di sicurezza fisiche, nonché dispositivi personali che supportano tecnologie, come Windows Hello o Face ID/Touch ID.
