GitHub lanza nuevos mandatos 2FA para desarrolladores de código y colaboradores



GitHub está introduciendo nuevas reglas que rodean a los desarrolladores y la seguridad de autenticación de dos factores (2FA). El miércoles, el repositorio de códigos propiedad de Microsoft dijo que se realizarán cambios en las reglas de autenticación existentes como "parte de un esfuerzo de toda la plataforma para proteger el ecosistema de software mediante la mejora de la seguridad de la cuenta". Según Mike Hanley, director de seguridad (CSO) de GitHub, GitHub requerirá que cualquier desarrollador contribuya con código a la plataforma para habilitar al menos una forma de 2FA para fines de 2023.
Los proyectos de código abierto son recursos valiosos populares y ampliamente utilizados tanto para las personas como para las empresas. Sin embargo, si un actor de amenazas compromete la cuenta de un desarrollador, esto podría provocar repositorios secuestrados, robo de datos e interrupción del proyecto. El proveedor de la plataforma en la nube Heroku, propiedad de Salesforce, reveló un incidente de seguridad en abril.
Un subconjunto de sus repositorios privados de git se vio comprometido luego del robo de tokens de OAuth, lo que podría generar un acceso no autorizado a los repositorios de los clientes. GitHub dice que la cadena de suministro de software "comienza con el desarrollador" y ha estado reforzando sus controles con esto en mente, señalando que las cuentas de los desarrolladores son "objetivos frecuentes para la ingeniería social y la adquisición de cuentas". Recientemente, el problema de la carga de paquetes maliciosos en el registro npm de GitHub también ha puesto de relieve la seguridad de la cadena de suministro de software.
En muchos casos, no es una vulnerabilidad de día cero lo que causa el colapso de los proyectos de código abierto o les da noches de insomnio a los desarrolladores. En cambio, son las debilidades fundamentales, como credenciales de contraseña débiles o información robada, las que explotan los atacantes cibernéticos. Sin embargo, el repositorio de código también ha reconocido que puede haber una compensación entre la seguridad y la experiencia del usuario.
Por lo tanto, la fecha límite de 2023 también le dará a la organización el tiempo para "optimizar" el dominio de GitHub antes de que se establezcan las reglas. Roca. "Los desarrolladores de todo el mundo pueden esperar más opciones para la autenticación segura y la recuperación de la cuenta, junto con mejoras que ayudan a prevenir y recuperarse del compromiso de la cuenta", comentó Hanley. Para GitHub, la implementación de 2FA puede convertirse en un problema apremiante, ya que solo el 16,
5 % de los usuarios activos de GitHub y el 6,44 % de los usuarios de npm adoptan al menos una forma de 2FA. GitHub ya depreció la autenticación básica, usando solo nombres de usuario y contraseñas, a favor de integrar OAuth o tokens de acceso.
La organización también introdujo la verificación de dispositivos basada en correo electrónico cuando 2FA no se ha habilitado. El plan actual es continuar con la implementación obligatoria de 2FA en npm, pasando de los 100 paquetes principales a los 500, y luego a aquellos con más de 500 dependientes o un millón de descargas semanales. Las lecciones aprendidas de este banco de pruebas se aplicarán luego a GitHub.
“Si bien estamos invirtiendo profundamente en nuestra plataforma y en la industria en general para mejorar la seguridad general de la cadena de suministro de software, el valor de esa inversión es fundamentalmente limitado si no abordamos el riesgo continuo de compromiso de la cuenta”, dijo Hanley. "Nuestra respuesta a este desafío continúa hoy con nuestro compromiso de impulsar una mejor seguridad en la cadena de suministro a través de prácticas seguras para desarrolladores individuales". En abril, GitHub presentó una nueva función de escaneo para proteger a los desarrolladores y evitar que filtren secretos accidentalmente.
La función de usuario empresarial es una verificación opcional para que los desarrolladores la habiliten durante los flujos de trabajo y antes de que se inicie un git push. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o en Keybase: charlie0.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı