De zet is bedoeld om de softwareketen te versterken en aanvallen van slechte actoren via social engineering of soortgelijke pogingen tot accountovername te voorkomen. Het two-factor authentication mandaat werd aanvankelijk aangekondigd door GitHub afgelopen mei met de bedoeling om het verplicht te stellen tegen het einde van 2023.
GitHub heeft bevestigd dat platform-brede handhaving zal beginnen op 13 maart, en zal stapsgewijs worden uitgerold naar verschillende groepen ontwikkelaars en projectbeheerders gedurende de rest van het jaar.
Met meer dan 100 miljoen gebruikers van ontwikkelaars is GitHub cruciaal voor de wereldwijde softwareketen. Recente spraakmakende aanvallen hebben de regering Biden ertoe aangezet een uitvoeringsbesluit uit te vaardigen om de cyberdefensie van het land te beveiligen, waarin Big Tech wordt opgeroepen meer verantwoordelijkheid te nemen om ervoor te zorgen dat hun systemen robuust zijn.
Het streven van GitHub naar een verplichte 2FA is bedoeld om de kans te verkleinen dat belangrijke open source projecten worden gecompromitteerd door kwaadwillenden. Het is ook bedoeld om ervoor te zorgen dat iedereen die zich moet aanmelden dat vrijwillig en op tijd doet.
45 dagen om te activeren
Ontwikkelaars die het doelwit zijn tijdens de eerste 2FA inschrijvingspush zullen een e-mail en een banner op hun GitHub dashboard ontvangen waarin hen wordt gevraagd zich aan te melden. Ze hebben 45 dagen om 2FA te activeren, met regelmatige vragen gedurende die periode om eraan te voldoen. Als 2FA niet binnen deze 45 dagen is geconfigureerd, zullen ze worden gevraagd om 2FA in te schakelen de volgende keer dat ze proberen toegang te krijgen tot hun GitHub account.
GitHub gebruikers kunnen hun 2FA mechanisme kiezen uit SMS, fysieke beveiligingssleutels, authenticator apps van derden en de GitHub mobiele app. GitHub adviseert mensen om meer dan één 2FA-methode te activeren.
Degenen die 2FA hebben ingesteld, krijgen na 28 dagen nog een prompt waarin hen wordt gevraagd hun 2FA-methode te valideren, bedoeld om te voorkomen dat ontwikkelaars van hun accounts worden afgesloten.
GitHub zal rekening houden met verschillende datapunten, zoals publicatiefrequentie, enterprise administrators en bijdrage aan populaire publieke en private repositories bij het bepalen welke ontwikkelaars vanaf 13 maart 2FA-prompts zullen ontvangen. Het platform zal de lessen die tijdens de eerste uitrol zijn geleerd toepassen op de bredere uitrol tot 2023.
Lees ook: GitHub Copilot krijgt grote update om codeerervaring te verbeteren
44 minuten geleden
