GitHub implementeert 2FA-vereiste voor alle bijdragende ontwikkelaars vanaf 13 maart
2 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
GitHub kondigde aan dat alle bijdragende ontwikkelaars zouden moeten inschakelen two-factor authenticatie (2FA) vanaf 13 maart. Volgens het bedrijf is het een initiatief om softwareontwikkeling en toeleveringsketen veilig te stellen.
"GitHub staat centraal in de software supply chain en het beveiligen van de software supply chain begint bij de ontwikkelaar", zegt GitHub in zijn laatste blog. “Ons 2FA-initiatief maakt deel uit van een platformbrede inspanning om softwareontwikkeling te beveiligen door de accountbeveiliging te verbeteren. Ontwikkelaarsaccounts zijn vaak doelwitten voor social engineering en account takeover (ATO). Het beschermen van ontwikkelaars en consumenten van het open source-ecosysteem tegen dit soort aanvallen is de eerste en meest cruciale stap in de richting van het beveiligen van de toeleveringsketen.”
De implementatie van de 2FA-vereiste zal geleidelijk verlopen en het bedrijf zei dat het eerst contact zou opnemen met kleinere groepen ontwikkelaars en beheerders. Verder zal de selectie van groepen ontwikkelaars "gebaseerd zijn op de acties die ze hebben ondernomen of de code waaraan ze hebben bijgedragen", aldus GitHub. Dit zal in de loop van het volgende jaar worden voortgezet.
Degenen die worden geselecteerd, worden via e-mail op de hoogte gebracht en zien ook een inschrijvingsbanner op GitHub.com. Zodra de melding begint, hebben ontwikkelaars 45 dagen om hun 2FA in te stellen. Na deze periode komt er nog een week verlenging, maar de accounttoegang zal op dat moment beperkt zijn, aldus GitHub. Hiermee wordt degenen die vroegtijdig op de hoogte worden gebracht van de nieuwe beveiligingsvereiste geadviseerd om hun 2FA zo snel mogelijk te repareren.
Aan de andere kant moedigt het bedrijf de bijdragers aan die de nieuwe vereiste zullen hebben om te kiezen voor veiligere 2FA-methoden in plaats van sms.
"We raden ten zeerste aan om waar mogelijk beveiligingssleutels en TOTP's te gebruiken", luidt de blog. “SMS-gebaseerde 2FA biedt niet hetzelfde beschermingsniveau en wordt niet langer aanbevolen onder NIST 800-63B. De krachtigste methoden die algemeen beschikbaar zijn, zijn die welke de veilige authenticatiestandaard WebAuthn ondersteunen. Deze methoden omvatten fysieke beveiligingssleutels, maar ook persoonlijke apparaten die technologieën ondersteunen, zoals Windows Hello of Face ID/Touch ID.”
