GitHub aplicará mudanças para proteger códigos

O GitHub anunciou que a autenticação de dois fatores (2FA) será obrigatória para todos os contribuidores de código por meio do GitHub.com até o final de 2023, com base em uma série de desenvolvimentos de segurança recentes na plataforma de hospedagem de código de propriedade da Microsoft

publicidade
(Imagem: Divulgação)

Embora ataques sofisticados sejam uma ameaça real para empresas em todo o espectro industrial, o fato é que a maioria das violações de segurança se deve a um simples erro humano. 

Isso pode ser engenharia social, roubo de credenciais ou outros pontos de entrada de baixa barreira para as contas de trabalho dos funcionários. 

publicidade

É por isso que a 2FA pode ser um mecanismo tão útil para proteger sistemas críticos de negócios, pois significa que, se um agente mal-intencionado obtiver credenciais de login privadas, será muito mais difícil explorá-las.

O que é e para que serve o GitHub?

O GitHub é uma interface baseada na web que usa o Git, software de controle de versão de código aberto, que permite que várias pessoas façam alterações separadas em páginas da web ao mesmo tempo. A plataforma incentiva as equipes a trabalharem juntas para criar e editar o conteúdo do site.

Em novembro, o GitHub respondeu às recentes aquisições de pacotes NPM resultantes de contas comprometidas, incluindo uma com mais de 7 milhões de downloads semanais, tornando o 2FA obrigatório.

publicidade

Esse processo começou a funcionar em fevereiro, quando o GitHub impôs o 2FA para todos os mantenedores dos 100 pacotes de registro NPM mais populares e, no mês seguinte, todas as contas NPM foram automaticamente inscritas no programa de verificação de login aprimorado do GitHub. 

No final deste mês, o GitHub disse que inscreverá todos os mantenedores dos 500 principais pacotes NPM para 2FA, enquanto aqueles com mais de 500 dependências ou 1 milhão de downloads semanais serão adicionados ao mix no terceiro trimestre de 2022.

E as lições que o GitHub obtém desse lançamento incremental para pacotes NPM serão aplicadas ao seu esforço mais amplo de tornar o 2FA obrigatório na plataforma.

Problema antigo

O problema acontece há muito tempo. Uma conta comprometida pode ser usada para furtar código privado ou enviar alterações maliciosas pela cadeia de fornecimento de software, causando todo tipo de dano incalculável. Mas, apesar da introdução de um mecanismo 2FA opcional em 2013, hoje o GitHub relata que ele é usado por apenas 16,5% dos usuários ativos.

publicidade

Antes do anúncio de hoje, o GitHub estabeleceu as bases para o florescimento do 2FA, adicionando suporte para chaves de segurança física de terceiros há algum tempo e, em seguida, tornando o aplicativo móvel do GitHub mais uma maneira de autenticar logins via 2FA.

O próximo passo óbvio é tornar o 2FA obrigatório para todos os usuários do GitHub.com – algo que o GitHub levará de agora até o prazo final de 2023. Nos meses seguintes, o empresa planeja introduzir “mais opções de segurança de autenticação e recuperação de contas”, de acordo com o diretor de segurança do GitHub, Mike Hanley.

A cadeia de suprimentos de software começa com o desenvolvedor – as contas do desenvolvedor são alvos frequentes de engenharia social e controle de contas, e proteger os desenvolvedores desses tipos de ataques é o primeiro e mais importante passo para proteger a cadeia de suprimentos”, escreveu Hanley em um post no blog.  “O GitHub está comprometido em garantir que a forte segurança da conta não prejudique uma ótima experiência para os desenvolvedores, e nossa meta para o final de 2023 nos dá a oportunidade de otimizar para isso.

Vale a pena notar que a postura 2FA obrigatória do do site se aplicará a todos os contribuidores individuais de projetos públicos de código aberto. Empresas e usuários corporativos também podem exigir 2FA para todos os membros de sua organização, embora isso permaneça opcional.

O que você achou? Siga @bitmagazineoficial no Instagram para ver mais e deixar seu comentário clicando aqui

Veja mais ›
Fechar