GitHub запровадить вимогу 2FA для всіх розробників, які беруть участь у програмі, починаючи з 13 березня
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
GitHub оголосив, що для цього потрібно буде ввімкнути всіх розробників, які беруть участь у програмі двухфакторная аутентифікація (2FA), починаючи з 13 березня. За словами компанії, це ініціатива для забезпечення безпеки розробки програмного забезпечення та ланцюжка поставок.
«GitHub займає центральне місце в ланцюжку постачання програмного забезпечення, і захист ланцюга постачання програмного забезпечення починається з розробника», — повідомляє GitHub у своєму останньому блозі. «Наша ініціатива 2FA є частиною загальноплатформних зусиль із забезпечення безпеки розробки програмного забезпечення шляхом підвищення безпеки облікових записів. Облікові записи розробників часто є об’єктами соціальної інженерії та захоплення облікових записів (ATO). Захист розробників і споживачів екосистеми з відкритим вихідним кодом від таких типів атак є першим і найважливішим кроком до безпеки ланцюжка поставок».
Впровадження вимоги 2FA відбуватиметься поступово, і компанія заявила, що спочатку звернеться до менших груп розробників і адміністраторів. Крім того, згідно з GitHub, відбір груп розробників буде «ґрунтуватися на діях, які вони вжили, або коді, до якого вони зробили внесок». Це триватиме протягом наступного року.
Ті, хто буде обраний, отримають сповіщення електронною поштою, а також побачать банер реєстрації на GitHub.com. Після початку сповіщення розробники матимуть 45 днів, щоб налаштувати 2FA. Після цього періоду буде ще один тиждень продовження, але доступ до облікового запису буде обмежено, згідно з GitHub. Таким чином, тим, хто отримає сповіщення про нову вимогу безпеки, рекомендується якомога швидше виправити 2FA.
З іншого боку, компанія заохочує учасників, які матимуть нові вимоги, вибрати більш безпечні методи 2FA замість SMS.
«Ми наполегливо рекомендуємо використовувати ключі безпеки та TOTP, де це можливо», — йдеться в блозі. «2FA на основі SMS не забезпечує той самий рівень захисту, і він більше не рекомендований відповідно до NIST 800-63B. Найнадійніші широко доступні методи – це ті, які підтримують безпечний стандарт автентифікації WebAuthn. Ці методи включають фізичні ключі безпеки, а також персональні пристрої, які підтримують такі технології, як Windows Hello або Face ID/Touch ID».
