O GitHub implementará o requisito 2FA para todos os desenvolvedores colaboradores a partir de 13 de março
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
GitHub anunciou que exigiria que todos os desenvolvedores contribuintes habilitassem autenticação de dois fatores (2FA) a partir de 13 de março. Segundo a empresa, é uma iniciativa para garantir o desenvolvimento de software e a cadeia de suprimentos.
“O GitHub é fundamental para a cadeia de suprimentos de software, e proteger a cadeia de suprimentos de software começa com o desenvolvedor”, diz o GitHub em seu último blog. “Nossa iniciativa 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança da conta. As contas dos desenvolvedores são alvos frequentes de engenharia social e controle de conta (ATO). Proteger desenvolvedores e consumidores do ecossistema de código aberto desses tipos de ataques é o primeiro e mais crítico passo para proteger a cadeia de suprimentos”.
A implementação do requisito 2FA será gradual e a empresa disse que primeiro alcançará grupos menores de desenvolvedores e administradores. Além disso, a seleção de grupos de desenvolvedores será “baseada nas ações que eles realizaram ou no código para o qual contribuíram”, de acordo com o GitHub. Isso vai continuar ao longo do próximo ano.
Os selecionados serão notificados por e-mail e também verão um banner de inscrição no GitHub.com. Depois que a notificação começar, os desenvolvedores terão 45 dias para configurar seu 2FA. Haverá outra extensão de uma semana após esse período, mas o acesso à conta será limitado naquele momento, de acordo com o GitHub. Com isso, aqueles que serão notificados com antecedência sobre o novo requisito de segurança são aconselhados a corrigir seu 2FA o mais rápido possível.
Por outro lado, a empresa incentiva os colaboradores que terão o novo requisito a optar por métodos 2FA mais seguros em vez de SMS.
“Recomendamos fortemente o uso de chaves de segurança e TOTPs sempre que possível”, diz o blog. “O 2FA baseado em SMS não fornece o mesmo nível de proteção e não é mais recomendado pelo NIST 800-63B. Os métodos mais fortes amplamente disponíveis são aqueles que suportam o padrão de autenticação segura WebAuthn. Esses métodos incluem chaves físicas de segurança, bem como dispositivos pessoais que suportam tecnologias, como Windows Hello ou Face ID/Touch ID.”