GitHub, kodehostingplatformen, der bruges af millioner af softwareudviklere rundt om i verden, annoncerede i dag, at alle brugere, der uploader kode til webstedet, skal aktivere en eller flere former for to-faktor-godkendelse (2FA) inden udgangen af 2023 for at fortsætte med at bruge platformen.
Den nye politik blev annonceret onsdag i et blogindlæg af GitHubs sikkerhedschef (CSO) Mike Hanley, som fremhævede den Microsoft-ejede platforms rolle i at beskytte integriteten af softwareudviklingsprocessen i lyset af trusler skabt af dårlige aktører, der overtager udviklernes konti.
“Softwareforsyningskæden starter med udvikleren,” skrev Hanley. “Udviklerkonti er hyppige mål for social engineering og kontoovertagelse, og beskyttelse af udviklere mod disse typer angreb er det første og mest kritiske skridt mod at sikre forsyningskæden.”
Selvom multifaktorautentificering giver betydelig yderligere beskyttelse til onlinekonti, viser GitHubs interne forskning, at kun omkring 16,5 procent af de aktive brugere (omkring hver sjette) i øjeblikket aktiverer de forbedrede sikkerhedsforanstaltninger på deres konti – et overraskende lavt tal i betragtning af, at platformens brugerbasen bør være opmærksom på risiciene ved adgangskodebeskyttelse.
“Softwareforsyningskæden starter med udvikleren”
Ved at styre disse brugere mod en højere minimumsstandard for kontobeskyttelse håber GitHub at øge den overordnede sikkerhed for softwareudviklingsfællesskabet som helhed , fortalte Hanley til The Verge.
“GitHub er i en unik position her, netop i kraft af det store flertal af open source- og skaberfællesskaber, der bor på GitHub.com, at vi kan have en betydelig positiv indvirkning på sikkerheden i det overordnede økosystem ved at hæve barren fra en sikkerhed hygiejneperspektiv,” sagde Hanley. “Vi føler, at det virkelig er en af de bedste fordele for hele økosystemet, som vi kan give, og vi er forpligtet til at sikre, at vi arbejder os igennem enhver af udfordringerne eller forhindringerne for at sikre, at der er succesfuld adoption.”
GitHub har allerede etableret en præcedens for obligatorisk brug af 2FA med en mindre delmængde af platformbrugere, efter at have prøvet det med bidragydere til populære JavaScript-biblioteker distribueret gennem pakkehåndteringssoftwaren NPM. Da udbredte NPM-pakker kan downloades millioner af gange om ugen, er de et meget attraktivt mål for malware-bander. I nogle tilfælde kompromitterede hackere NPM-bidragsyderkonti og brugte dem til at udgive softwareopdateringer, der installerede adgangskodetyvere og kryptominearbejdere.
“Vi føler, at det virkelig er en af de bedste økosystemdækkende fordele, vi kan give”
Som svar gjorde GitHub to-faktor-godkendelse obligatorisk for vedligeholdere af de 100 mest populære NPM-pakker fra februar 2022. Virksomheden planlægger at udvide de samme krav til bidragydere til de 500 bedste pakker inden udgangen af maj .
Indsigt fra dette mindre forsøg vil blive brugt til at udjævne processen med at udrulle 2FA på tværs af platformen, sagde Hanley. “Jeg tror, vi har en stor fordel af, at vi allerede har gjort dette nu på NPM,” sagde han. “Vi har lært meget af den oplevelse, i form af feedback, vi har fået fra udviklere og skaberfællesskaber, som vi har talt med, og vi havde en meget aktiv dialog om, hvordan god [praksis] ser ud med dem.”< /p>
I store træk betyder dette, at man skal sætte en lang leveringstid for at gøre brugen af 2FA obligatorisk på hele webstedet, og at designe en række onboarding-flows for at skubbe brugerne hen imod adoption i god tid før 2024-deadline, Hanley sagde.
Sikring af open source-software er stadig en presserende bekymring for softwareindustrien, især efter sidste års log4j-sårbarhed. Men selvom GitHubs nye politik vil afbøde nogle trusler, er der stadig systemiske udfordringer: mange open source-softwareprojekter vedligeholdes stadig af ulønnede frivillige, og at lukke finansieringskløften er blevet set som et stort problem for teknologiindustrien som helhed.