TecNoticias, tu portal de información

GitHub requerirá que todos los usuarios que aporten código en la plataforma usen 2FA como parte de sus últimas mejoras de seguridad. Los ataques a la cadena de suministro de software van en aumento. GitHub, que tiene más de 83 millones de usuarios que contribuyen con el código, está dando un paso adelante para proteger a los desarrolladores y la cadena de suministro de software con este importante anuncio de cambio de política. “En GitHub, creemos que nuestra posición única como el hogar de todos los desarrolladores nos brinda la oportunidad y la responsabilidad de elevar el nivel de seguridad en todo el ecosistema de desarrollo de software”, escribió Mike Hanley, director de seguridad de GitHub, en un blog. correo. “Si bien estamos invirtiendo profundamente en nuestra plataforma y en la industria en general para mejorar la seguridad general de la cadena de suministro de software, el valor de esa inversión es fundamentalmente limitado si no abordamos el riesgo continuo de compromiso de la cuenta”. GitHub se comprometió a invertir en la seguridad de la cuenta npm después de que el compromiso de las cuentas sin 2FA habilitado condujera a la adquisición de paquetes. “Las cuentas comprometidas se pueden usar para robar código privado o introducir cambios maliciosos en ese código. Esto pone en riesgo no solo a las personas y organizaciones asociadas con las cuentas comprometidas, sino también a los usuarios del código afectado”, explica Hanley. “Como resultado, el potencial de impacto descendente en el ecosistema de software y la cadena de suministro más amplios es sustancial”. Hoy, solo alrededor del 16,5 % de los usuarios activos de GitHub y el 6,44 % de los usuarios de npm usan una o más formas de 2FA. Los esfuerzos previos realizados por GitHub para proteger a los desarrolladores incluyen la búsqueda e invalidación de contraseñas de usuarios que se sabe que están comprometidas, ofreciendo un sólido soporte de clave de seguridad WebAuthn e inscribiendo a todos los editores de npm en una verificación de inicio de sesión mejorada. Tras el cambio de política anunciado hoy, GitHub requerirá que todas las cuentas de desarrollador habiliten una o más formas de 2FA para fines de 2023. Le pedimos a GitHub un comentario sobre por qué decidió un período de transición tan largo y esta fue la respuesta:

“Si bien estamos entusiasmados por mejorar la adopción de 2FA, también reconocemos que la seguridad que no se puede usar no es una seguridad significativa. Tomarse el tiempo para brindar una experiencia accesible y sin problemas para los desarrolladores nos ayuda a garantizar una implementación exitosa y también sirve para normalizar la 2FA como algo que no tiene que verse como un inconveniente. Creemos que el tiempo y la inversión nos permitirán hacer la experiencia aún más agradable al servicio de nuestro objetivo de mejorar la adopción. También hemos visto un gran éxito en una implementación por etapas con nuestra aplicación 2FA para npm. Esto nos ha permitido asegurarnos de que vamos en la dirección correcta, recopilar comentarios de los clientes y adaptar nuestro enfoque según sea necesario”.

Si bien es genial ver que GitHub reconoce los riesgos de las cuentas comprometidas, muchos aún cuestionarán la necesidad de un retraso tan largo en la implementación de la política dados los riesgos elevados actuales. Una cantidad cada vez mayor de servicios ya requieren 2FA y estamos seguros de que GitHub y sus usuarios podrían hacer lo mismo a fines de este año para ayudar a prevenir más ataques de cuentas comprometidas.

Actualizar: Se agregó una respuesta de GitHub sobre el razonamiento del largo período de transición. (Foto de FLY:D en Unsplash)

¿Quiere aprender más sobre ciberseguridad y la nube de los líderes de la industria? Eche un vistazo a Cyber ​​Security & Cloud Expo que tendrá lugar en Ámsterdam, California y Londres. Explore otros próximos eventos y seminarios web de tecnología empresarial impulsados ​​por TechForge aquí. Etiquetas: 2fa, seguridad cibernética, ciberseguridad, github, piratería, seguridad, cadena de suministro