Desenvolvedores que contribuem com código no GitHub terão de habilitar uma ou mais formas de autenticação de dois fatores (2FA ) até o final de 2023. A decisão da plataforma busca aumentar os níveis de segurança ao redor do desenvolvimento de software, tendo em visto que as contas de usuários são alvos frequentes de ataques de engenharia social e roubo de contas.
“A cadeia de fornecimento de software começa com o desenvolvedor. Proteger os desenvolvedores desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de fornecimento de software”, destacou Mike Hanley, Chief Security Officer do GitHub.
Em novembro de 2021, o GitHub anunciou o compromisso de investir na segurança de contas npm, após a invasão de contas de desenvolvedores que não tinham o 2FA habilitado. Node Package Manager é uma ferramenta do Node.js para o gerenciamento de pacotes.
A empresa lembra que a maioria das violações de segurança envolvem ataques de baixo custo, como engenharia social, roubo ou vazamento de credenciais e outros caminhos que fornecem aos invasores uma ampla gama de acesso às contas das vítimas e aos recursos que eles têm acesso.
Leia ainda: Para maioria dos profissionais de segurança, investimentos na área não são prioridade
“As contas comprometidas podem ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associados às contas comprometidas, mas também qualquer usuário do código afetado. Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento”, alerta Hanley.
A autenticação de dois fatores é vista como uma forma de criar redundâncias ao redor da identidade do usuário. Entretanto, segundo o Github, a adoção de 2FA em todo o ecossistema de software permanece baixa em geral. Hoje, apenas aproximadamente 16,5% dos usuários ativos do GitHub e 6,44% dos usuários do npm usam uma ou mais formas de 2FA.
Em fevereiro, a plataforma passou a exigir o 2FA de todos os mantenedores dos 100 principais pacotes no registro npm e, em março, a exigir o login aprimorado de todas as contas. Em 31 de maio, exigirá o 2FA de todos os mantenedores dos 500 principais pacotes.
O último grupo será de mantenedores de todos os pacotes de alto impacto, aqueles com mais de 500 dependentes ou um milhão de downloads semanais, que devem se inscrever no terceiro trimestre deste ano.
“Aproveitaremos o que aprendemos ao exigir 2FA no npm e aplicaremos essas lições aos nossos esforços no GitHub.com”, indicou Hanley.
Vale ressaltar que os proprietários de organizações e empresas do GitHub.com também podem exigir 2FA dos membros de suas organizações e empresas. Os membros e proprietários da organização e da empresa que não usam 2FA serão removidos da organização ou empresa quando essas configurações forem habilitadas.
