GitHub вводит это требование, чтобы помочь защитить цепочку поставок программного обеспечения с открытым исходным кодом от вредоносных угроз. Но внедрение будет постепенным.
Чтобы помешать хакерам вмешиваться в цепочку поставок программного обеспечения, GitHub с 13 марта обяжет пользователей использовать двухфакторную аутентификацию (2FA).
Сначала это требование будет распространяться на небольшие группы пользователей, а затем GitHub распространит его на большее количество людей в течение года. Цель – сделать требование 2FA обязательным для всех пользователей до конца 2023 года.
“Если ваш аккаунт будет выбран для регистрации, вы получите уведомление по электронной почте и увидите баннер на GitHub.com с предложением зарегистрироваться”, – написала компания в блоге в четверг. “У вас будет 45 дней, чтобы настроить 2FA на своем аккаунте – до этого момента в использовании GitHub ничего не изменится, кроме напоминаний”.
Изначально GitHub объявил о введении требования 2FA в прошлом году, ссылаясь на угрозу поражения хакерами цепочки поставок программного обеспечения. Принадлежащий Microsoft GitHub наиболее известен как платформа для репозиториев кода, где разработчики могут размещать и вносить вклад в проекты открытого программного обеспечения, а также интегрировать их в свои собственные продукты.
С тех пор GitHub привлек более 100 миллионов разработчиков по всему миру. Однако эта платформа – идеальная мишень для злоупотреблений. Например, хакер может подделать популярный проект на GitHub и заставить его тайно загрузить вредоносное ПО на компьютер. Затем разработчики программного обеспечения могут случайно спровоцировать распространение вредоносного кода, включив его в свои продукты.
Кроме того, хакер может взломать аккаунт разработчика на GitHub, чтобы украсть код собственного программного обеспечения. “Аккаунты разработчиков – частые мишени для социальной инженерии и захвата аккаунтов, и защита разработчиков от подобных атак – первый и самый важный шаг к обеспечению безопасности цепочки поставок”, – написал в мае Майк Хэнли, директор по безопасности GitHub.
2FA (она же многофакторная аутентификация) может помешать хакерам, поскольку заставляет каждого, кто входит в аккаунт, вводить как правильный пароль, так и одноразовый код, сгенерированный на телефоне владельца аккаунта. Это может усложнить, но не исключить возможность взлома.
Пользователи GitHub, желающие активировать 2FA до 13 марта, могут зайти в настройки своего аккаунта. Платформа предлагает 2FA через приложение-аутентификатор, ключ безопасности и через SMS, хотя GitHub настоятельно рекомендует пользователям отказаться от варианта с SMS. За прошедшие годы хакеры показали, что могут украсть одноразовый код, сгенерированный через SMS, выполнив атаки по подмене SIM-карты на телефонном номере жертвы. Это может позволить хакерам перехватывать телефонные звонки и SMS-сообщения, отправленные на устройство.
Тем не менее, GitHub решил оставить 2FA на основе SMS в качестве опции для пользователей, беспокоящихся о том, что их аккаунты могут быть заблокированы. Платформа добавила: “Теперь вы можете одновременно использовать приложение-аутентификатор (TOTP) и SMS-номер, зарегистрированный на вашем аккаунте. Хотя мы рекомендуем использовать ключи безопасности и приложение TOTP вместо SMS, одновременное использование обоих вариантов помогает снизить количество блокировок аккаунтов, предоставляя еще один доступный и понятный вариант 2FA, который могут включить разработчики”.