GitHub введет требование 2FA для всех разработчиков, начиная с 13 марта
2 минута. читать
Опубликовано
Поделиться этой статьей
Улучшите это руководство
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
GitHub объявил, что он потребует, чтобы все участвующие разработчики включили двухфакторная аутентификация (2FA) с 13 марта. По словам компании, это инициатива по обеспечению безопасности разработки программного обеспечения и цепочки поставок.
«GitHub занимает центральное место в цепочке поставок программного обеспечения, и обеспечение безопасности цепочки поставок программного обеспечения начинается с разработчика», — говорится в последнем отчете GitHub. Блог. «Наша инициатива 2FA является частью усилий всей платформы по обеспечению безопасности разработки программного обеспечения за счет повышения безопасности учетной записи. Учетные записи разработчиков часто становятся объектами социальной инженерии и захвата учетных записей (ATO). Защита разработчиков и потребителей экосистемы с открытым исходным кодом от подобных атак — первый и самый важный шаг к обеспечению безопасности цепочки поставок».
Внедрение требования 2FA будет постепенным, и компания заявила, что сначала обратится к небольшим группам разработчиков и администраторов. Кроме того, согласно GitHub, отбор групп разработчиков будет «основан на действиях, которые они предприняли, или коде, в который они внесли свой вклад». Это будет продолжаться в течение следующего года.
Те, кто будет выбран, получат уведомление по электронной почте, а также увидят баннер регистрации на GitHub.com. После начала уведомления у разработчиков будет 45 дней, чтобы настроить двухфакторную аутентификацию. По истечении этого периода будет еще одна недельная пролонгация, но доступ к учетной записи в это время будет ограничен, согласно GitHub. При этом тем, кто будет заранее уведомлен о новых требованиях безопасности, рекомендуется как можно скорее исправить свою 2FA.
С другой стороны, компания поощряет участников, к которым будет предъявляться новое требование, выбирать более безопасные методы 2FA вместо SMS.
«Мы настоятельно рекомендуем использовать ключи безопасности и TOTP везде, где это возможно», — говорится в блоге. «Двухфакторная аутентификация на основе SMS не обеспечивает такой же уровень защиты, и она больше не рекомендуется согласно NIST 2-800B. Наиболее надежными широко доступными методами являются те, которые поддерживают стандарт безопасной аутентификации WebAuthn. Эти методы включают в себя физические ключи безопасности, а также персональные устройства, поддерживающие такие технологии, как Windows Hello или Face ID/Touch ID».
