Image: Prima91 GitHub, utilisé par la majorité des grandes entreprises technologiques, a annoncé qu’il fait 2FA. Reconnaissant les risques de sécurité de la chaîne d’approvisionnement, qui ont augmenté, l’entreprise commence un déploiement de neuf mois le lundi 13 mars. Tous les développeurs qui cotisent le code sur la plateforme devront finalement adopter le protocole de sécurité, l’entreprise a annoncé jeudi.
SEE: Kit de hareng: Full stack developer (TechRepublic Premium)
Le service DevOps appartenant à Microsoft a déclaré que le mouvement s’aligne avec le Stratégie nationale de cybersécurité , qui, entre autres, met l’onus et plus de responsabilité de sécurité sur les fournisseurs de logiciels.
Aller à :
- Être un développeur ne vous rend pas invulnérable
- Différents choix de 2FA, mais biométriques et mots clés trump SMS
- Le dernier geste suit la cadence des programmes de sécurité de GitHub
- Déploiement de mois pour minimiser les perturbations, optimiser les protocoles
- GitHub offre aux développeurs 2FA timeline
- Flexibilité par courriel pour éviter le lock-out Être un développeur ne vous rend pas invulnérable
Même les développeurs font erreurs et peut devenir des victimes de violations de la sécurité. Mike Hanley, chef de la sécurité et vice-président principal de l’ingénierie à GitHub, écrit dans un blog mai 2022 — qui a mentionné le plan 2FA pour la première fois — que les comptes compromis peuvent être utilisés pour voler du code privé ou pousser des modifications malveillantes à ce code.
Couverture du développeur Must-read
Kit de câblage: Python développeur
Comment trouver et installer la nouvelle mise à jour Windows 11 22H2
Apprenez avec deux années de webinaires en ligne DevGuide pour 39 $
AWS re:Invent 2022: Une visite cravate d’outils technologiques, de tenets et de tendances
« Cela place non seulement les individus et les organisations associés aux comptes compromis en péril, mais aussi les utilisateurs du code concerné », a-t-il écrit. « Le potentiel d’impact en aval de l’écosystème logiciel et de la chaîne d’approvisionnement est donc considérable. ”
Justin Cappos, professeur d’informatique à l’Université de New York et co-développeur des cadres de sécurité des logiciels in-toto et Uptane, a déclaré que l’adoption de 2FA par Github est une première étape critique dans la résolution d’un problème majeur.
« Inserting code into an organization is one of the worst types of attacks someone can do. La protection de la façon dont les gens travaillent sur le code, ce qui signifie aujourd’hui souvent travailler sur le code à travers GitHub, est vraiment clé. Dans la mesure où ils font plus difficile pour les attaquants de faire cela, est un énorme positif », a-t-il déclaré.
SEE: Comment minimiser les risques de sécurité: Suivez ces pratiques exemplaires pour le succès (TechRepublic Premium)
Différents choix de 2FA, mais biométriques et mots clés trump SMS
GitHub offre également un option préférée 2FA pour la connexion de compte avec un appel sudo, permettant aux utilisateurs de choisir entre les mots de passe ponctuels, SMS, clés de sécurité ou GitHub Mobile. Cependant, la société est urging users d’aller avec des clés de sécurité, y compris des clés de sécurité physique, comme Yubikey, et TOTP, notant que SGS 2FA est moins sûr .
NIST, which ne recommande plus 2FA, a souligné que:
- Un secret hors bande envoyé par SMS peut être reçu par un attaquant qui a convaincu l’opérateur mobile de rediriger le téléphone portable de la victime à l’agresseur.
- Une application malveillante sur le point final peut lire un secret hors bande envoyé par SMS et l’agresseur peut utiliser le secret pour authentifier. « Les méthodes les plus solides sont celles qui appuient le standard d’authentification sécurisé de WebAuthn », a déclaré GitHub dans son annonce. « Ces méthodes comprennent des clés de sécurité physique ainsi que des appareils personnels qui supportent des technologies telles que Windows Hello ou Face ID/Touch ID. ”
Cappos a déclaré que l’importance de différencier les méthodes 2FA ne peut pas être surestimée. « Pour la 2FA, toutes choses ne sont pas les mêmes. Les Yubikeys, par exemple, sont la norme d’or parce que vous devriez physiquement voler la clé pour causer quelque chose à se produire », a-t-il dit.
SEE: 1Password recherche un avenir sans mot de passe. Voilà pourquoi (TechRepublic)
GitHub a dit que c’est aussi des tests ânes , le protocole credential de prochaine génération, comme une défense contre des exploits comme le phishing.
«Parce que les pâtes sont encore une nouvelle méthode d’authentification, nous travaillons à les tester à l’interne avant de les envoyer aux clients», a déclaré un porte-parole. « Nous croyons qu’ils combineront facilité d’utilisation avec une authentification forte et résistante à l’étain. ”
Le dernier geste suit la cadence des programmes de sécurité de GitHub
Dans un déménagement vers la fermeture des failles pour combattre les acteurs de la menace, GitHub élargit son numérisation secrète programme l’automne dernier, permettant aux développeurs de suivre tous les secrets publiquement exposés dans leur dépôt public GitHub.
Et plus tôt cette année, GitHub a lancé une option de configuration pour la numérisation de code appelé “configuration par défaut” qui permet aux utilisateurs d’activer automatiquement la numérisation de code.
« Notre initiative 2FA fait partie d’un effort à l’échelle de la plateforme pour assurer le développement de logiciels en améliorant la sécurité des comptes », a déclaré l’entreprise dans un communiqué, notant que les comptes développeurs sont des objectifs d’ingénierie sociale et de prise de compte.
Déploiement de mois pour minimiser les perturbations, optimiser les protocoles
Le processus de diffusion des nouveaux protocoles vise à minimiser les perturbations pour les utilisateurs, avec des groupes sélectionnés en fonction des actions qu’ils ont prises ou du code auquel ils ont contribué, selon GitHub (Figure A) .
Figure A
Image: GitHub. Securing the software supply chain starts with user accounts. L’entreprise a déclaré que le déploiement lent faciliterait également GitHub à effectuer des ajustements au besoin avant d’évoluer vers des groupes plus grands et plus grands au cours de cette année.
Un porte-parole de GitHub a expliqué que, bien que l’entreprise n’offre pas de détails sur la façon dont les utilisateurs se qualifient pour faire partie de certains groupes dans la cadence 2FA, la personne a déclaré que les groupes sont déterminés, en partie, en fonction de leur impact sur la sécurité du écosystème plus large . Les groupes à fort impact comprendront les utilisateurs qui:
- Publié les applications GitHub ou OAuth, Actions ou paquets .
- Création release .
- Code contribué aux dépôts jugés critiques npm , OpenSSF , PyPI ou RubyGems .
- Code contribué à l’un des quatre millions de dépôts publics et privés.
- agir en tant qu’administrateurs d’entreprises et d’organisations. Pour ceux qui ont une fourmi proactive, la société offre immédiatement 2FA à un dédié site .
GitHub offre aux développeurs 2FA timeline
Le processus pour les contributeurs de GitHub fixe plusieurs marqueurs de temps pour lancer 2FA autour d’un délai doux (Figure B) .
Figure B
Image: GitHub. Timeline pour les contributeurs de GitHub. ### Avant la date limite
Les contributeurs GitHub sélectionnés pour un groupe 2FA en attente recevront une notification préalable par courriel 45 jours avant la date limite, en les informant de la date limite et en offrant des orientations sur la façon de activer 2FA.
Une fois que la date limite d ’ ouverture est fixée
Les personnes notifiées seront incitées à permettre à 2FA la première fois qu’elles accèdent à GitHub.com chaque jour. Ils peuvent ronfler cette invite une fois par jour pendant une semaine, mais après cela, ils seront incapables d’accéder aux fonctionnalités GitHub.com jusqu’à ce qu’ils permettent 2FA.
28 jours après le permis 2FA
Les utilisateurs recevront un « check-up » 2FA tout en utilisant GitHub.com, qui valide que leur configuration 2FA fonctionne correctement. Les utilisateurs précédemment connectés pourront reconfigurer 2FA s’ils ont malconfiguré ou déplacé des deuxièmes facteurs ou des codes de récupération pendant l’embarquement.
Flexibilité par courriel pour éviter le lock-out
Heureusement, les nouveaux protocoles permettent aux utilisateurs unlink email d’un compte GitHub 2FA-enabled pour éviter le paradoxe d’être enfermé hors de la même chose — e-mail — qui leur permet de vérifier le compte s’ils sont incapables de signer ou de le récupérer.
« Si vous n’êtes pas en mesure de trouver une clé SSH, PAT ou un dispositif qui a été précédemment signé dans GitHub pour récupérer votre compte, il est facile de commencer à nouveau avec un nouveau compte GitHub.com et de garder ce graphique de contribution correctement vert », a déclaré l’entreprise.
### Cybersecurity Insider Newsletter
Renforcer les défenses de sécurité de votre organisation en gardant au courant des dernières nouvelles, solutions et pratiques de cybersécurité.
Livré mardi et jeudi Inscrivez-vous aujourd’hui