Łańcuch dostaw oprogramowania zaczyna się od dewelopera. Konta deweloperów często padają celem inżynierii społecznej i są przejmowane. Ochrona deweloperów przed tymi atakami to pierwszy ważny krok w zabezpieczeniu cyklu życia oprogramowania. GitHub zajmuje się tym od dawna, jednak wkrótce jego ochrona będzie jeszcze mocniejsza.
GitHub od dawna chroni użytkowników m.in. poprzez wyszukiwanie i unieważnianie haseł, o których wiadomo, że zostały przejęte, wsparcie dla kluczy bezpieczeństwa WebAuthn czy rejestrowanie wszystkich wydawców npm w rozszerzonej weryfikacji logowania. Teraz, w ramach szerzej zakrojonych wysiłków mających na celu zabezpieczenie ekosystemu poprzez poprawę bezpieczeństwa kont, GitHub zapowiedział, iż będzie wymagał od wszystkich użytkowników, którzy dostarczają kod na GitHub.com, włączenia jednej lub większej liczby składników w ramach uwierzytelniania dwuskładnikowego (2FA) do końca 2023 roku.
GitHub zobowiązuje się do zapewnienia, że silna ochrona konta nie nadejdzie kosztem świetnego doświadczenia dla deweloperów, a nasz cel — końcówka 2023 roku — daje nam szansę na optymalizację tego. Podczas gdy standardy ewoluują, my kontynuujemy aktywne eksploracje nowych sposobów bezpiecznego uwierzytelniania użytkowników, wliczając w to uwierzytelnianie bezhasłowe [passwordless authentication]. Deweloperzy na całym świecie mogą spodziewać się większej liczby opcji uwierzytelniania i odzyskiwania konta, a także ulepszeń, które pomogą zapobiegać i odzyskiwać konto po przejęciu.
— Mike Hanley, Chief Security Officer w GitHub
Kontrybutorzy mogą już teraz korzystać z metod uwierzytelniania wieloskładnikowego z użyciem swoich telefonów. Od niedawna 2FA jest dostępne w GitHub Mobile na iOS i Androida.
341f31d.png)