Até o final de 2023, os desenvolvedores que contribuem com código no GitHub terão de habilitar uma ou mais formas de autenticação de dois fatores (2FA ). Essa decisão da plataforma aumentará os níveis de segurança ao redor do desenvolvimento de software, em vista que contas de usuários são alvos frequentes de ataques de engenharia social e roubo de contas.
Mike Hanley, Chief Security Officer do GitHub, destacou “A cadeia de fornecimento de software começa com o desenvolvedor. Proteger os desenvolvedores desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de fornecimento de software”.
O GitHub anunciou em novembro de 2021, o compromisso de investir na segurança de contas npm, após a invasão de contas de desenvolvedores que não tinham o 2FA habilitado. O Node Package Manager é uma ferramenta do Node.js para o gerenciamento de pacotes. A maioria das violações de segurança envolvem ataques de baixo custo, como engenharia social, roubo ou vazamento de credenciais e outros caminhos que fornecem aos invasores uma ampla gama de acesso às contas das vítimas e aos recursos que possuem acesso.
Hanley, alerta “As contas comprometidas podem ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associados às contas comprometidas, mas também qualquer usuário do código afetado. Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento”.
A autenticação de dois fatores é vista como uma forma de criar redundâncias ao redor da identidade do usuário. Segundo o Github, a adoção de 2FA em todo o ecossistema de software permanece baixa em geral. Hoje, apenas cerca de 16,5% dos usuários ativos do GitHub e 6,44% dos usuários do npm usam uma ou mais formas de 2FA.
A plataforma passou a exigir, em fevereiro o 2FA de todos os mantenedores dos 100 principais pacotes no registro npm e, em março, a exigir o login aprimorado de todas as contas e dia 31 de maio, exigirá o 2FA de todos os mantenedores dos 500 principais pacotes. O último grupo será de mantenedores de todos os pacotes de alto impacto, aqueles com mais de 500 dependentes ou um milhão de downloads semanais, que devem se inscrever no terceiro trimestre deste ano.
“Aproveitaremos o que aprendemos ao exigir 2FA no npm e aplicaremos essas lições aos nossos esforços no GitHub.com”, indicou Hanley.
Lembrar que os proprietários de organizações e empresas do GitHub.com podem exigir 2FA dos membros de suas organizações e empresas. Os membros e proprietários da organização e da empresa que não usam 2FA serão removidos da organização ou empresa quando essas configurações forem habilitadas.
