GitHub ליישם דרישת 2FA לכל המפתחים התורמים החל מה-13 במרץ
2 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
GitHub הודיעה שהיא תדרוש מכל המפתחים התורמים להפעיל אימות שני גורמים (2FA) החל מה-13 במרץ. לדברי החברה, מדובר ביוזמה לאבטחת פיתוח תוכנה ושרשרת אספקה.
"GitHub הוא מרכזי בשרשרת אספקת התוכנה, ואבטחת שרשרת אספקת התוכנה מתחילה עם המפתח", אומר GitHub בכתבה האחרונה שלו בלוג. "יוזמת ה-2FA שלנו היא חלק ממאמץ פלטפורמה לאבטחת פיתוח תוכנה על ידי שיפור אבטחת החשבון. חשבונות מפתחים הם יעדים תכופים להנדסה חברתית והשתלטות על חשבונות (ATO). הגנה על מפתחים וצרכנים של מערכת הקוד הפתוח מפני התקפות מסוג זה היא הצעד הראשון והקריטי ביותר לקראת אבטחת שרשרת האספקה".
היישום של דרישת ה-2FA יהיה הדרגתי, והחברה אמרה שהיא תפנה תחילה לקבוצות קטנות יותר של מפתחים ומנהלי מערכת. יתרה מכך, בחירת קבוצות המפתחים תהיה "בהתבסס על הפעולות שהם נקטו או הקוד שהם תרמו לו", על פי GitHub. זה יימשך במהלך השנה הבאה.
אלה שייבחרו יקבלו הודעה בדוא"ל ויראו גם באנר הרשמה באתר GitHub.com. לאחר תחילת ההודעה, למפתחים יהיו 45 ימים להגדיר את ה-2FA שלהם. תהיה הארכה נוספת של שבוע לאחר תקופה זו, אך הגישה לחשבון תהיה מוגבלת במועד זה, על פי GitHub. עם זה, מי שיקבל הודעה מוקדמת על דרישת האבטחה החדשה, מומלץ לתקן את 2FA שלהם בהקדם האפשרי.
מצד שני, החברה מעודדת את התורמים שתהיה להם הדרישה החדשה לבחור בשיטות 2FA מאובטחות יותר במקום SMS.
"אנו ממליצים בחום להשתמש במפתחות אבטחה וב-TOTP בכל מקום אפשרי", נכתב בבלוג. "2FA מבוסס SMS אינו מספק את אותה רמת הגנה, והוא אינו מומלץ עוד תחת NIST 800-63B. השיטות החזקות ביותר הזמינות ביותר הן אלו התומכות בתקן האימות המאובטח WebAuthn. שיטות אלו כוללות מפתחות אבטחה פיזיים, כמו גם מכשירים אישיים התומכים בטכנולוגיות, כגון Windows Hello או Face ID/Touch ID".
