GitHub จะใช้ข้อกำหนด 2FA กับนักพัฒนาที่มีส่วนร่วมทั้งหมดตั้งแต่วันที่ 13 มีนาคม

GitHub ประกาศว่าต้องการให้นักพัฒนาที่มีส่วนร่วมทั้งหมดเปิดใช้งาน การตรวจสอบสิทธิ์แบบสองปัจจัย (2FA) เริ่มตั้งแต่วันที่ 13 มีนาคม ตามที่บริษัทระบุว่าเป็นความคิดริเริ่มเพื่อรักษาความปลอดภัยในการพัฒนาซอฟต์แวร์และซัพพลายเชน

“GitHub เป็นศูนย์กลางของห่วงโซ่อุปทานของซอฟต์แวร์ และการรักษาความปลอดภัยของห่วงโซ่อุปทานของซอฟต์แวร์เริ่มต้นที่ผู้พัฒนา” GitHub กล่าวในเอกสารล่าสุด บล็อก. “ความคิดริเริ่ม 2FA ของเราเป็นส่วนหนึ่งของความพยายามทั่วทั้งแพลตฟอร์มเพื่อรักษาความปลอดภัยในการพัฒนาซอฟต์แวร์โดยการปรับปรุงความปลอดภัยของบัญชี บัญชีของนักพัฒนามักจะตกเป็นเป้าหมายของวิศวกรรมสังคมและการครอบครองบัญชี (ATO) การปกป้องนักพัฒนาและผู้บริโภคของระบบนิเวศโอเพ่นซอร์สจากการโจมตีประเภทนี้เป็นขั้นตอนแรกและสำคัญที่สุดในการรักษาความปลอดภัยของห่วงโซ่อุปทาน”

การดำเนินการตามข้อกำหนด 2FA จะค่อยเป็นค่อยไป และบริษัทกล่าวว่าจะเข้าถึงนักพัฒนาและผู้ดูแลระบบกลุ่มเล็กๆ ก่อน นอกจากนี้ การเลือกกลุ่มนักพัฒนาจะ "ขึ้นอยู่กับการกระทำที่พวกเขาทำหรือรหัสที่พวกเขามีส่วนร่วม" ตาม GitHub ซึ่งจะดำเนินต่อไปในปีหน้า 

ผู้ที่ได้รับเลือกจะได้รับแจ้งทางอีเมลและจะเห็นแบนเนอร์การลงทะเบียนบน GitHub.com เมื่อการแจ้งเตือนเริ่มต้นขึ้น นักพัฒนาซอฟต์แวร์จะมีเวลา 45 วันในการตั้งค่า 2FA จะมีการต่ออายุอีกหนึ่งสัปดาห์หลังจากช่วงเวลานี้ แต่การเข้าถึงบัญชีจะถูกจำกัดในเวลานั้น ตามข้อมูลของ GitHub ด้วยเหตุนี้ ผู้ที่จะได้รับแจ้งล่วงหน้าเกี่ยวกับข้อกำหนดด้านความปลอดภัยใหม่ควรแก้ไข 2FA โดยเร็วที่สุด

ในทางกลับกัน บริษัทสนับสนุนให้ผู้ร่วมให้ข้อมูลซึ่งจะมีข้อกำหนดใหม่ให้เลือกใช้วิธี 2FA ที่ปลอดภัยมากขึ้นแทนการใช้ SMS

“เราขอแนะนำอย่างยิ่งให้ใช้คีย์ความปลอดภัยและ TOTP ทุกครั้งที่เป็นไปได้” บล็อกดังกล่าวระบุ “2FA ที่ใช้ SMS ไม่ได้ให้การป้องกันในระดับเดียวกัน และไม่แนะนำอีกต่อไปภายใต้ NIST 800-63B วิธีการที่แข็งแกร่งที่สุดที่มีอยู่ทั่วไปคือวิธีที่สนับสนุนมาตรฐานการรับรองความถูกต้องที่ปลอดภัยของ WebAuthn วิธีการเหล่านี้รวมถึงคีย์ความปลอดภัยทางกายภาพ และอุปกรณ์ส่วนบุคคลที่รองรับเทคโนโลยี เช่น Windows Hello หรือ Face ID/Touch ID”