La prossima settimana GitHub lancia la 2FA obbligatoria per molti sviluppatori
GitHub
La prossima settimana GitHub lancia la 2FA obbligatoria per molti sviluppatori
Agli ingegneri che contribuiscono a progetti pubblici è stato chiesto di iscriversi
Il codice GitHub di Microsoft che ospita biz prevede di iniziare a richiedere agli sviluppatori che contribuiscono a progetti pubblici di proteggere i propri account utilizzando l'autenticazione a due fattori (2FA) entro lunedì 13 marzo.
L'accresciuta posizione di sicurezza è in atto dallo scorso anno, quando la società ha annunciato che avrebbe reso obbligatoria la 2FA entro la fine del 2023, a seguito di un mandato 2FA precedente e più mirato.
"GitHub è fondamentale per la catena di fornitura del software e la protezione della catena di fornitura del software inizia con lo sviluppatore", hanno spiegato Laura Paine, product marketing director per GitHub Security Lab, e Hirsch Singhal, staff product manager, in un post sul blog. "La nostra iniziativa 2FA fa parte di uno sforzo a livello di piattaforma per proteggere lo sviluppo del software migliorando la sicurezza dell'account.
Il motivo del fastidio è che la compromissione dell'account di uno sviluppatore di software ha il potenziale per fornire all'attaccante l'accesso a tutti i dispositivi che eseguono il codice dello sviluppatore, probabilmente un'enorme espansione della superficie di attacco data la diffusa condivisione del codice abilitata da GitHub.
Il rilevamento di importanti attacchi alla catena di approvvigionamento, come la compromissione del 2021 dello strumento di monitoraggio Orion di SolarWinds da parte di agenti russi, ha amplificato le richieste di una migliore sicurezza del software e ha portato le aziende di sviluppo software come GitHub a fare più richieste ai propri utenti.
Altri ecosistemi di packaging hanno messo in atto regole simili. RubyGems, ad esempio, lo scorso agosto ha iniziato a richiedere l'autenticazione a più fattori per i possessori di gemme (pacchetti) con oltre 180 milioni di download. E il Python Package Index ha annunciato l'introduzione dell'autenticazione a due fattori (2FA) nel 2019, poi l'ha resa obbligatoria per qualsiasi progetto nell'1% dei download più ricchi l'anno scorso.
GitHub ha gradualmente abbassato l'asticella per la 2FA obbligatoria. Nel febbraio 2022, la società ha iniziato a richiedere 2FA per i manutentori dei primi 100 pacchetti npm. Nel novembre 2022, ha rivisto il suo requisito per coprire tutti i manutentori di pacchetti popolari con più di un milione di download settimanali o pacchetti con più di 500 dipendenti.
La nuova politica, affermano Paine e Singhal, verrà implementata gradualmente, con gruppi di sviluppatori che contribuiscono al codice ottenendo il consenso su base continuativa. Gli account redatti per difendere la comunità possono aspettarsi di essere informati via e-mail. Successivamente, i draftees avranno 45 giorni per impostare 2FA, durante i quali possono essere previsti promemoria.
Un portavoce dell'azienda ha rifiutato di fornire criteri specifici per l'inclusione nel programma in modo da non invitare al dibattito sulla questione.
"Sebbene GitHub non fornisca dettagli su come gli utenti si qualificano per questi gruppi o in quale gruppo rientrerà un utente specifico, questi gruppi sono costruiti dai seguenti criteri con un'enfasi sull'impatto sulla sicurezza dell'ecosistema più ampio", ha detto un portavoce .
In generale, gli sviluppatori designati includono:
- Utenti che hanno pubblicato app o azioni o pacchetti GitHub o OAuth
- Utenti che hanno creato una versione
- Utenti che sono amministratori dell'azienda e dell'organizzazione
- Utenti che hanno contribuito al codice di repository ritenuti critici da npm, OpenSSF, PyPI o RubyGems
- Utenti che hanno contribuito al codice approssimativamente dei primi quattro milioni di repository pubblici e privati
Trascorso tale termine, i titolari degli account dovranno abilitare 2FA per accedere a GitHub. Gli utenti, una volta che tentano inizialmente di accedere dopo la scadenza, avranno la possibilità di posticipare l'attivazione fino a una settimana, ma dopo tale data l'accesso all'account sarà limitato per i non conformi. E 28 giorni dopo l'implementazione della 2FA, agli sviluppatori iscritti verrà chiesto di convalidare la loro configurazione 2FA come controllo aggiuntivo.
GitHub ha ampliato le opzioni 2FA disponibili e ha fatto uno sforzo per garantire che ci siano opzioni di recupero dell'account realizzabili, come la possibilità di disconnettere gli account di posta elettronica dagli account GitHub bloccati da 2FA. Gli sviluppatori possono utilizzare TOTP, SMS, chiavi di sicurezza o GitHub Mobile come metodo 2FA preferito e possono disporre anche di un secondo metodo. Gli SMS sono supportati ma sconsigliati: come sottolineano Paine e Singhal, non sono più consigliati sotto NIST 800-63B.
"Il software open source è onnipresente, con il 90% delle aziende che dichiara di utilizzare l'open source nel proprio software proprietario", hanno affermato Paine e Singhal. "GitHub è una parte fondamentale dell'ecosistema open source, motivo per cui prendiamo sul serio la sicurezza degli account".
Thomas Claburn