GitHub는 2월 13일부터 모든 기여 개발자에게 XNUMXFA 요구 사항을 구현합니다.

GitHub의 기여하는 모든 개발자가 활성화해야 한다고 발표했습니다. 이중 인증 (2FA) 13월 XNUMX일부터. 회사에 따르면 소프트웨어 개발 및 공급망 확보를 위한 이니셔티브입니다.

"GitHub는 소프트웨어 공급망의 중심이며 소프트웨어 공급망 보안은 개발자부터 시작합니다."라고 GitHub는 최신 블로그. “우리의 2FA 이니셔티브는 계정 보안을 개선하여 소프트웨어 개발을 보호하기 위한 플랫폼 차원의 노력의 일부입니다. 개발자 계정은 사회 공학 및 계정 탈취(ATO)의 빈번한 대상입니다. 이러한 유형의 공격으로부터 오픈 소스 생태계의 개발자와 소비자를 보호하는 것이 공급망 보안을 향한 첫 번째이자 가장 중요한 단계입니다.”

2FA 요구 사항의 구현은 점진적일 것이며 회사는 먼저 소규모 개발자 및 관리자 그룹에 도달할 것이라고 말했습니다. 또한 GitHub에 따르면 개발자 그룹의 선택은 "그들이 취한 조치 또는 기여한 코드를 기반으로" 합니다. 이것은 내년에도 계속됩니다. 

선정될 사람은 이메일을 통해 통보를 받으며 GitHub.com의 등록 배너도 볼 수 있습니다. 알림이 시작되면 개발자는 45일 동안 2FA를 설정해야 합니다. 이 기간이 지나면 2주일 더 연장되지만 GitHub에 따르면 해당 기간 동안 계정 액세스가 제한됩니다. 이를 통해 새로운 보안 요구 사항을 조기에 통보받을 사람들은 가능한 한 빨리 XNUMXFA를 수정하는 것이 좋습니다.

한편, 회사는 SMS 대신 더 안전한 2FA 방법을 선택하도록 새로운 요구 사항을 갖게 될 기여자를 권장합니다.

"가능한 한 보안 키와 TOTP를 사용하는 것이 좋습니다."라고 블로그에서 읽습니다. “SMS 기반 2FA는 동일한 수준의 보호를 제공하지 않으며 NIST 800-63B에서 더 이상 권장되지 않습니다. 널리 사용되는 가장 강력한 방법은 WebAuthn 보안 인증 표준을 지원하는 방법입니다. 이러한 방법에는 물리적 보안 키와 Windows Hello 또는 Face ID/Touch ID와 같은 기술을 지원하는 개인 장치가 포함됩니다.”