GitHub implementerer 2FA-kravet til alle medvirkende utviklere fra og med 13. mars

Hjemprodukt » kunngjøring

Ikon for lesetid 2 min. lese

Kalenderikon Publisert på

by Sharron Bennet 

publisert på

Del denne artikkelen

Lesere hjelper til med å støtte MSpoweruser. Vi kan få provisjon hvis du kjøper gjennom lenkene våre. Verktøytipsikon

Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer

GitHub kunngjorde at det ville kreve at alle medvirkende utviklere aktiverer tofaktorautentisering (2FA) som starter 13. mars. Ifølge selskapet er det et initiativ for å sikre programvareutvikling og forsyningskjede.

"GitHub er sentral i programvareforsyningskjeden, og sikring av programvareforsyningskjeden starter med utvikleren," sier GitHub på sin siste blog. "Vårt 2FA-initiativ er en del av en plattformomfattende innsats for å sikre programvareutvikling ved å forbedre kontosikkerheten. Utviklerkontoer er hyppige mål for sosial utvikling og kontoovertakelse (ATO). Å beskytte utviklere og forbrukere av åpen kildekode-økosystemet fra denne typen angrep er det første og mest kritiske skrittet mot å sikre forsyningskjeden."

Implementeringen av 2FA-kravet vil være gradvis, og selskapet sa at det først ville nå ut til mindre grupper av utviklere og administratorer. Videre vil utvalget av grupper av utviklere være "basert på handlingene de har tatt eller koden de har bidratt til," ifølge GitHub. Dette vil fortsette i løpet av neste år. 

De som vil bli valgt vil bli varslet via e-post og vil også se et registreringsbanner på GitHub.com. Når varselet starter, vil utviklerne ha 45 dager på seg til å sette opp 2FA. Det vil bli ytterligere én ukes forlengelse etter denne perioden, men kontotilgangen vil være begrenset på det tidspunktet, ifølge GitHub. Med dette rådes de som vil bli varslet tidlig om det nye sikkerhetskravet om å fikse 2FA så snart som mulig.

På den annen side oppfordrer selskapet bidragsyterne som vil ha det nye kravet til å velge sikrere 2FA-metoder i stedet for SMS.

"Vi anbefaler på det sterkeste bruk av sikkerhetsnøkler og TOTP-er der det er mulig," heter det i bloggen. "SMS-basert 2FA gir ikke det samme beskyttelsesnivået, og det anbefales ikke lenger under NIST 800-63B. De sterkeste metodene som er allment tilgjengelige, er de som støtter WebAuthn-standarden for sikker autentisering. Disse metodene inkluderer fysiske sikkerhetsnøkler, så vel som personlige enheter som støtter teknologier, for eksempel Windows Hello eller Face ID/Touch ID.»

Mer om temaene: 2-faktorautentisering, 2fa, utviklere, Github, sikkerhet

Sharron Bennet

Sharron Bennet Shield

Reporter

Sharron er en teknisk reporter på mspoweruser.com. Hun dekker de fleste tekniske nyheter fra merker som Sony, Samsung, Google og flere.