O negócio de hospedagem de código GitHub da Microsoft planeja começar a exigir que os desenvolvedores que contribuem para projetos públicos protejam suas contas usando autenticação de dois fatores (2FA) até segunda-feira, 13 de março.
A postura de segurança elevada está em andamento desde o ano passado, quando a empresa anunciou que tornaria o 2FA obrigatório até o final de 2023, seguindo um mandato anterior de 2FA mais direcionado.
“O GitHub é fundamental para a cadeia de suprimentos de software e a proteção da cadeia de suprimentos de software começa com o desenvolvedor”, explicaram Laura Paine, diretora de marketing de produto do GitHub Security Lab, e Hirsch Singhal, gerente de produto da equipe, em um post de blog. “Nossa iniciativa 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança da conta.
O motivo do incômodo é que comprometer a conta de um desenvolvedor de software tem o potencial de fornecer ao invasor acesso a todos os dispositivos que executam o código do desenvolvedor – possivelmente uma enorme expansão da superfície de ataque devido ao amplo compartilhamento de código que o GitHub permite.
A detecção de grandes ataques à cadeia de suprimentos, como o comprometimento de 2021 da ferramenta de monitoramento Orion da SolarWinds por agentes russos, ampliou os pedidos por melhor segurança de software e levou empresas de desenvolvimento de software como o GitHub a exigir mais de seus usuários.
Outros ecossistemas de embalagens estabeleceram regras semelhantes. RubyGems, por exemplo, em agosto passado começou a exigir autenticação multifator para proprietários de gems (pacotes) com mais de 180 milhões de downloads. E o Python Package Index anunciou a introdução da autenticação de dois fatores (2FA) em 2019, tornando-a obrigatória para qualquer projeto no top 1% dos downloads no ano passado.
O GitHub tem diminuído gradualmente a barra para 2FA obrigatório. Em fevereiro de 2022, a empresa começou a exigir 2FA para os mantenedores dos 100 principais pacotes npm. Em novembro de 2022, revisou seu requisito para cobrir todos os mantenedores de pacotes populares com mais de um milhão de downloads semanais ou pacotes com mais de 500 dependentes.
A nova política, dizem Paine e Singhal, será implementada gradualmente, com grupos de desenvolvedores que contribuem com código obtendo aprovação de forma contínua. As contas elaboradas para defender a comunidade podem esperar ser notificadas por e-mail. Posteriormente, os convocados terão 45 dias para configurar o 2FA, período durante o qual os lembretes podem ser esperados.
Um porta-voz da empresa se recusou a fornecer critérios específicos para inclusão no programa para não abrir debate sobre o assunto.
“Embora o GitHub não forneça detalhes sobre como os usuários se qualificam para esses grupos ou em qual grupo um usuário específico se enquadrará, esses grupos são criados a partir dos seguintes critérios, com ênfase no impacto à segurança do ecossistema mais amplo”, disse um porta-voz .
Em geral, os desenvolvedores designados incluem:
- Usuários que publicaram aplicativos GitHub ou OAuth ou Actions ou pacotes
- Usuários que criaram uma versão
- Usuários que são administradores corporativos e organizacionais
- Usuários que contribuíram com código para repositórios considerados críticos por npm, OpenSSF, PyPI ou RubyGems
- Usuários que contribuíram com código para os aproximadamente quatro milhões de repositórios públicos e privados
Após esse prazo, os titulares de contas deverão habilitar o 2FA para acessar o GitHub. Os usuários, uma vez que inicialmente tentem fazer login após o prazo, poderão adiar a ativação por até uma semana, mas depois disso o acesso à conta será limitado para os não compatíveis. E 28 dias após a implementação do 2FA, os desenvolvedores inscritos serão solicitados a validar sua configuração 2FA como uma verificação adicional.
O GitHub expandiu as opções 2FA disponíveis e fez um esforço para garantir que existam opções de recuperação de conta viáveis, como a capacidade de desconectar contas de e-mail de contas GitHub bloqueadas por 2FA. Os desenvolvedores podem usar TOTP, SMS, chaves de segurança ou GitHub Mobile como método 2FA preferido e também podem ter um segundo método. O SMS é suportado, mas desencorajado – como Paine e Singhal apontam, não é mais recomendado pelo NIST 800-63B.
“O software de código aberto é onipresente, com 90% das empresas relatando que usam código aberto em seu software proprietário”, disseram Paine e Singhal. “O GitHub é uma parte crítica do ecossistema de código aberto, e é por isso que levamos a sério a garantia da segurança da conta.” ®
Teste Agora!
Teste Agora!
Posts Relacionados
Webinário Os dados nunca foram tão valiosos e a IA é a ferramenta que usamos para explorar sua riqueza. A ponto de não haver uma empresa ou organização governamental que não busque aumentar as informações que possui, seja em saúde, medicina, serviços financeiros, energia ou manufatura, por exemplo.Como o ouro, os dados são valorizados, protegidos
Webinário Nada fica parado no mundo digital e a evolução da gestão de segredos não é exceção.Houve avanços significativos nos últimos anos, principalmente com a passagem de aplicativos estáticos para dinâmicos e a chegada de equipes de desenvolvedores cada vez mais distribuídas.Embora a estrutura exata de aplicativos e ambientes de TI varie inevitavelmente de uma
Diga a frase "aplicativo da web progressivo" para a maioria das pessoas - incluindo profissionais com experiência em tecnologia - e você certamente encontrará uma reação consistente: o clássico olhar vazio, provavelmente seguido por um período de silêncio constrangedor.Aplicativos da Web progressivos - ou PWAs, como costumam ser chamados - são um dos avanços mais
