GitHub は、2 月 13 日からすべての貢献開発者に XNUMXFA 要件を実装します

GitHubの 貢献しているすべての開発者が有効にする必要があると発表しました 2要素認証 (2FA) は 13 月 XNUMX 日から。同社によると、ソフトウェア開発とサプライ チェーンを確保するためのイニシアチブです。

「GitHub はソフトウェア サプライ チェーンの中心であり、ソフトウェア サプライ チェーンの保護は開発者から始まります」と GitHub は最新の ブログ. 「私たちの 2FA イニシアチブは、アカウントのセキュリティを向上させることでソフトウェア開発を保護するためのプラットフォーム全体の取り組みの一部です。 開発者のアカウントは、ソーシャル エンジニアリングやアカウント乗っ取り (ATO) の標的になることがよくあります。 オープンソース エコシステムの開発者と消費者をこの種の攻撃から保護することは、サプライ チェーンを保護するための最初の最も重要なステップです。」

2FA要件の実装は段階的であり、同社はまず、開発者と管理者の小さなグループに手を差し伸べると述べた. さらに、開発者グループの選択は、GitHub によると、「彼らが行ったアクションまたは貢献したコードに基づいて」行われます。 これは来年も続く。 

選ばれた人にはメールで通知され、GitHub.com に登録バナーも表示されます。 通知が開始されると、開発者は 45FA を設定するために 2 日間与えられます。 この期間の後、さらに 2 週​​間の延長がありますが、GitHub によると、その時点でアカウントへのアクセスは制限されます。 これにより、新しいセキュリティ要件が早期に通知される人は、できるだけ早く XNUMXFA を修正することをお勧めします。

一方、同社は、SMS の代わりにより安全な 2FA 方法を選択するという新しい要件を持つコントリビューターを奨励しています。

「可能な限りセキュリティ キーと TOTP を使用することを強くお勧めします」とブログには書かれています。 「SMS ベースの 2FA は同じレベルの保護を提供しないため、NIST 800-63B では推奨されなくなりました。 広く利用可能な最も強力な方法は、WebAuthn セキュア認証標準をサポートする方法です。 これらの方法には、物理​​的なセキュリティ キーだけでなく、Windows Hello や Face ID/Touch ID などのテクノロジをサポートする個人用デバイスも含まれます。」