GitHub erzwingt 2FA für alle Code-Mitwirkenden bis Ende 2023

Wir freuen uns, die Transform 2022 am 19. Juli und virtuell vom 20. bis 28. Juli wieder persönlich zu präsentieren. Nehmen Sie an aufschlussreichen Gesprächen und spannenden Networking-Möglichkeiten teil. Registrieren Sie sich heute!!


Lassen Sie die OSS Enterprise-Newsletter begleiten Sie Ihre Open-Source-Reise! Hier anmelden.

GitHub hat angekündigt, dass die Zwei-Faktor-Authentifizierung (2FA) bis Ende 2023 für alle Code-Mitwirkenden über GitHub.com obligatorisch sein wird, aufbauend auf einer Reihe von jüngsten Sicherheitsentwicklungen auf der Microsoft-eigene Code-Hosting-Plattform.

Während ausgeklügelte Zero-Day-Angriffe eine echte Bedrohung für Unternehmen im gesamten Industriespektrum darstellen, Tatsache ist, dass die meisten Sicherheitsverletzungen nicht mehr auftreten zu einfachen menschlichen Fehlern oder Manipulation, sei es Social Engineering, Diebstahl von Anmeldeinformationen oder andere Einstiegspunkte mit geringer Barriere zu den Arbeitskonten der Mitarbeiter. Und deshalb 2FA kann so nützlich sein Mechanismus zum Sichern kritischer Geschäftssysteme, da dies bedeutet, dass es viel schwieriger ist, diese auszunutzen, wenn ein Angreifer an private Anmeldeinformationen gelangt.

2FA-Push von GitHub

Zurück im NovemberGitHub reagierte auf kürzlich erfolgte Übernahmen von NPM-Paketen, die aus kompromittierten Konten resultierten, darunter eines mit mehr als 7 Millionen wöchentlichen Downloads, indem 2FA obligatorisch wird. Dieser Prozess kam im Februar in Gang, als GitHub 2FA für alle Betreuer der 100 beliebtesten NPM-Registrierungspakete durchsetzte, und im folgenden Monat alles NPM-Konten wurden automatisch im erweiterten Anmeldeüberprüfungsprogramm von GitHub registriert. Später in diesem Monat gab GitHub bekannt, dass alle Betreuer der 500 besten NPM-Pakete für 2FA registriert werden, während diejenigen mit mehr als 500 Abhängigkeiten oder 1 Million wöchentlichen Downloads im dritten Quartal 2022 zum Mix hinzugefügt werden.

Und die Lehren, die GitHub aus dieser schrittweisen Einführung von NPM-Paketen zieht, werden auf seinen breiteren Vorstoß angewendet, 2FA auf GitHub.com obligatorisch zu machen.

In vielerlei Hinsicht hat dies lange auf sich warten lassen. Ein kompromittiertes Konto kann verwendet werden, um privaten Code zu stehlen oder böswillige Änderungen durch die Softwarelieferkette zu schieben, was alle Arten von unsagbarem Schaden anrichtet. Aber trotz der ersten Einführung eines optionalen 2FA-Mechanismus schon 2013heute wird es nur von 16,5 % der aktiven GitHub-Benutzer verwendet.

Vor der heutigen Ankündigung hat GitHub die Grundlage für das Gedeihen von 2FA gelegt und Unterstützung für hinzugefügt physische Sicherheitsschlüssel von Drittanbietern eine Weile zurück, und dann die mobile GitHub-App auf eine andere Weise zu machen Anmeldungen über 2FA zu authentifizieren.

Der nächste offensichtliche Schritt besteht darin, 2FA für alle Benutzer von GitHub.com obligatorisch zu machen, etwas, das GitHub von jetzt an bis zum Stichtag Ende 2023 vorantreiben wird. In den dazwischenliegenden Monaten plant GitHub, „mehr Optionen für die sichere Authentifizierung“ einzuführen und Kontowiederherstellung “, so Mike Hanley, Chief Security Officer von GitHub.

„Die Software-Lieferkette beginnt mit den Entwickler-Entwickler-Konten sind häufige Ziele für Social Engineering und Kontoübernahmen, und der Schutz der Entwickler vor dieser Art von Angriffen ist der erste und wichtigste Schritt zur Sicherung der Lieferkette“, schrieb Hanley in einem Blogbeitrag . . . „GitHub setzt sich dafür ein, dass eine starke Kontosicherheit nicht auf Kosten einer großartigen Erfahrung für Entwickler geht, und unser Ziel für Ende 2023 gibt uns die Möglichkeit, dies zu optimieren.“

Es ist erwähnenswert, dass die obligatorische 2FA-Haltung von GitHub für alle einzelnen Mitwirkenden an öffentlichen Open-Source-Projekten gilt. Unternehmen und Unternehmensbenutzer können auch 2FA für alle Mitglieder ihrer Organisation verlangen, obwohl dies optional bleibt.

Die Mission von VentureBeat soll ein digitaler Marktplatz für technische Entscheidungsträger sein, um sich Wissen über transformative Unternehmenstechnologie anzueignen und Transaktionen durchzuführen. Erfahren Sie mehr über die Mitgliedschaft.

Leave a Comment