Przedstawiamy A uwierzytelnianie wieloczynnikowe (MFA) mandat dla użytkowników swojej platformy się opłacił GitHubktóra odnotowała ogromny wzrost liczby użytkowników w ciągu ostatnich 12 miesięcy, ponieważ kontynuuje wysiłki na rzecz poprawy standardów bezpieczeństwa cybernetycznego w społeczności oprogramowania open source (OSS).
Uznanie wpływu problemów związanych z łańcuchem dostaw oprogramowania na bezpieczeństwo na tysiące organizacji na całym świecie, które zostały zagrożone w wyniku powstałych problemów poprzez niezabezpieczony kod OSS – incydent Log4Shell jest prawdopodobnie najbardziej niesławny – GitHub podjął próbę podniesienia poprzeczki w zakresie bezpieczeństwa łańcucha dostaw, zwracając się do programistów w maju 2022 r.
W ramach tego w marcu 2023 r. wprowadziła obowiązkową usługę MFA dla wybranych użytkowników, koncentrując się początkowo na tych, których uważa się za mających najbardziej krytyczny wpływ na łańcuch dostaw oprogramowania.
Platforma twierdzi, że w ciągu ostatnich 12 miesięcy odnotowała wskaźnik akceptacji wynoszący 95% wśród autorów kodu, którzy spełnili wymagania MFA, a liczba zapisów wciąż napływa. W szerszym ujęciu dodał, że odnotował 54% wzrost wykorzystania MFA wśród wszystkich aktywnych uczestników projektów hostowanych na GitHubie.
„Chociaż technologia poczyniła znaczne postępy w zakresie zwalczania rozprzestrzeniania się wyrafinowanych zagrożeń bezpieczeństwa, rzeczywistość jest taka, że zapobieganie kolejnym cyberatakom zależy od prawidłowego opanowania podstaw bezpieczeństwa, a wysiłki mające na celu zabezpieczenie ekosystemu oprogramowania muszą chronić programistów, którzy projektują, budują i utrzymują oprogramowanie, na którym wszyscy polegamy” – napisał Mike Hanley, dyrektor ds. bezpieczeństwa i starszy wiceprezes ds. inżynierii w GitHub.
„Jako siedziba największej na świecie społeczności programistów, GitHub ma wyjątkową możliwość poprawy bezpieczeństwa łańcucha dostaw oprogramowania…. silna pomoc makrofinansowa pozostaje jedną z najlepszych linii obrony przed przejęciem klientów i następującym po niej naruszeniem łańcucha dostaw”.
Oprócz zachęcania programistów do lepszej podstawowej higieny cybernetycznej, GitHub twierdzi, że zaobserwował także, że użytkownicy przyjęli bezpieczniejsze środki MFA – w tym klucze dostępu, których wprowadzenie było głównym celem inicjatywy; od czasu otwarcia publicznej wersji beta w lipcu 2023 r. zarejestrował 1,4 miliona kluczy dostępu na GitHub.com, a technologia ta szybko wyprzedziła inne formy MFA wspierane przez Webauthn w codziennym użytkowaniu na platformie.
Aby zapewnić elastyczność, na razie nadal oferuje mniej bezpieczne formy MFA, takie jak kody SMS, chociaż Hanley powiedział, że GitHub próbował sprawić, aby przepływy pracy związane z wdrażaniem usługi MFA odsuwały ludzi od SMS-ów jako wyboru.
GitHub odnotował również zmniejszenie netto liczby zgłoszeń do pomocy technicznej związanej z MFA, co przypisuje intensywnym badaniom i projektom przeprowadzanym od początku przez użytkowników, a także pewnym ulepszeniom procesu wsparcia zaplecza, które wprowadził.
Ponadto, powiedział Hanley, w projekt zaangażowani są także inni liderzy OSS. „Organizacje takie jak RubyGems, PyPI i AWS dołączyły do nas, podnosząc poprzeczkę dla całego łańcucha dostaw oprogramowania, udowadniając, że duży wzrost wykorzystania MFA nie jest wyzwaniem nie do pokonania” – napisał.
Wezwanie do działania
Patrząc w przyszłość, Hanley powiedział, że w ramach projektu do tej pory traktowano priorytetowo określone grupy użytkowników w oparciu o ich uprawnienia i działania, ale podkreślił, że GitHub pragnie zbadać, w jaki sposób może wymagać rejestracji większej liczby użytkowników w ciągu najbliższych 12 miesięcy, i zachęca programistom przejście w górę łańcucha pokarmowego do bezpieczniejszych czynników, takich jak klucze dostępu, przy jednoczesnym zachowaniu komfortu użytkownika.
Bada także wdrożenie innych funkcji zabezpieczeń konta, takich jak wiązanie sesji i tokenów, które mogłyby umożliwić użytkownikom skuteczniejsze zarządzanie ryzykiem naruszenia bezpieczeństwa konta, niezależnie od tego, czy zarejestrowali się w usłudze MFA, czy nie. Hanley powiedział, że nadal jest wiele do zrobienia, aby wesprzeć użytkowników, którzy mogą nie mieć dostępu do smartfona lub którzy nie mają kontroli nad oprogramowaniem na komputerze, którego używają do wdrożenia MFA.
„Jako platforma globalna wierzymy, że każdy powinien mieć dostęp do narzędzi, dzięki którym tworzenie oprogramowania będzie łatwiejsze i bezpieczniejsze, dlatego nieustannie podejmujemy wysiłki mające na celu wymuszenie silnego uwierzytelniania jak największej liczby programistów” – powiedział Hanley.
„Będziemy nadal znajdować rozwiązania chroniące programistów, projekty, nad którymi pracują, oraz społeczności, w których uczestniczą, ciężko pracując nad przyjęciem zrównoważonego podejścia, które znacznie poprawi bezpieczeństwo całego łańcucha dostaw oprogramowania, bez ograniczania tych z różnymi konfiguracjach lub środowiskach na całym świecie” – powiedział.
Z okazji pierwszej rocznicy rozpoczęcia mandatu MFA GitHub stwierdził, że jest jasne, że w rzeczywistości możliwe jest podniesienie poprzeczki w zakresie bezpieczeństwa bez negatywnego wpływu na doświadczenia użytkowników, i zachęca swoich partnerów oraz szerzej rozumianą branżę do zdecydowanego rozważyć wprowadzenie obowiązkowego wymogu MFA również na swoich platformach.