Het nieuwe beleid geldt voor iedereen die code bijdraagt aan het platform.
GitHub kondigde deze week aan dat alle gebruikers vanaf eind 2023 verplicht zijn om tweestapsverificatie (2FA) in te schakelen. Het beleid geldt niet alleen voor ontwikkelaars van populaire repositories, maar voor iedere gebruiker die code bijdraagt aan het platform.
Tweestapsverificatie vereist meestal dat gebruikers een eenmalige code of wachtwoord invoeren. Gebruikers kunnen de code ontvangen via een SMS-bericht of een authenticatie-app op smartphones.
GitHub raadt SMS af. De methode biedt minder zekerheid dan een app of beveiligingssleutel en wordt niet langer aanbevolen onder NIST 800-63B. GitHub maakte in januari een eigen tweestapsverificatie-mechanisme bekend.
Supply chain security
Wanneer de account van een GitHub-gebruiker wordt gehackt kan de aanvaller kwaadaardige code invoeren in alle softwareprojecten die betrekking hebben tot de account. Vandaar ziet GitHub de verplichting van tweestapsverificatie als een belangrijke stap in “de beveiliging van de software supply chain”.
Daarnaast gelooft GitHub dat de implementatie “gebruikers meer vertrouwen zal geven in de kwaliteit van de code die ze downloaden”. In mei kondigde GitHub een vergelijkbare verplichting aan voor developers van populaire projecten met meer dan een miljoen downloads per week of meer dan 500 dependances.
De bredere implementatie was te verwachten. Het platform kondigde in augustus 2021 aan dat gebruikers met verloop van tijd op tweestapsverificatie overgezet zouden worden. Met de recente aankondiging is de verplichting officieel voor alle circa 94 miljoen GitHub-gebruikers.
Gebruikers die tegen eind 2023 geen tweestapsverificatie inschakelen krijgen één week uitstel, waarna de toegang tot het platform wordt ontzegd.
4 uur geleden
