Dalam upaya untuk meningkatkan keamanan akun pengembang dan kode yang dihosting di platformnya, GitHub mengumumkan bahwa penggunanya harus mendaftar untuk otentikasi dua faktor (2VA) pada akhir tahun depan.
Lebih khusus lagi, siapa pun yang berkontribusi kode pada platform milik Microsoft perlu mengaktifkan satu atau lebih model 2a.
Menurut sebuah blog baru dari Mike Hanley, chief security officer di GitHub, rantai pasokan perangkat lunak dimulai dengan pengembang dan akun pengembang sering ditargetkan oleh rekayasa sosial dan pengambilalihan akun. Dengan melindungi pengembang dari jenis serangan ini, perusahaan mengambil langkah pertama dan paling penting untuk mengamankan rantai pasokan perangkat lunak.
Ke depan, GitHub berencana untuk mengeksplorasi cara-cara baru untuk mengautentikasi penggunanya dengan aman termasuk otentikasi bebas kata sandi. Bahkan, baru tahun lalu, perusahaan menambahkan kemampuan untuk menggunakan kunci keamanan untuk otentikasi sebagai bagian dari upayanya untuk bergerak menuju masa depan tanpa kata sandi.
Rantai pasokan perangkat lunak yang aman
Pada November tahun lalu, GitHub berkomitmen untuk investasi baru dalam keamanan akun NPM setelah akuisisi paket npm yang merupakan hasil dari akun pengembang tanpa memungkinkan 2VA dikompromikan.
Meskipun kerentanan zero-day mendapat banyak perhatian secara online, serangan berbiaya rendah seperti rekayasa sosial, pencurian kredensial, atau kebocoran data hampir bertanggung jawab atas sebagian besar pelanggaran keamanan.
Akun risiko di GitHub dapat digunakan untuk mencuri kode khusus atau bahkan untuk mendorong perubahan berbahaya pada kode itu. Sayangnya, tidak hanya individu dan organisasi mereka yang terkait dengan akun yang diretas ini yang berisiko tetapi juga pengguna kode yang terpengaruh.
Pertahanan terbaik terhadap akun pengguna yang disusupi adalah dengan melewati otentikasi berbasis kata sandi dasar. Namun, hanya 16,5 persen dari semua pengguna GitHub aktif saat ini dan 6,44 persen pengguna npm menggunakan satu atau lebih bentuk 2K.
Pengguna GitHub memiliki banyak waktu untuk mempersiapkan perubahan ini dan perusahaan baru-baru ini meluncurkan 2VA untuk GitHub Mobile di iOS dan Android. Mereka yang tertarik mempelajari cara mengkonfigurasi GitHub mobile 2VA dapat memeriksa dokumen dukungan ini untuk memulai.
