Компания Microsoft, занимающаяся размещением кода на GitHub, планирует начать требовать от разработчиков, которые участвуют в общедоступных проектах, защиты своих учетных записей с помощью двухфакторной аутентификации (2FA) к понедельнику, 13 марта.
Повышение уровня безопасности разрабатывалось с прошлого года, когда компания объявила, что сделает двухфакторную аутентификацию обязательной к концу 2023 года в соответствии с предыдущим, более целенаправленным мандатом на двухфакторную аутентификацию.
«GitHub занимает центральное место в цепочке поставок программного обеспечения, и обеспечение безопасности цепочки поставок программного обеспечения начинается с разработчика», — объяснили Лаура Пейн, директор по маркетингу продуктов GitHub Security Lab, и Хирш Сингхал, штатный менеджер по продуктам, в своем блоге. «Наша инициатива 2FA является частью общеплатформенных усилий по обеспечению безопасности разработки программного обеспечения за счет повышения безопасности учетной записи.
Причина беспокойства заключается в том, что компрометация учетной записи разработчика программного обеспечения может предоставить злоумышленнику доступ ко всем устройствам, на которых работает код разработчика — возможно, огромное расширение поверхности атаки, учитывая широко распространенный обмен кодом, который позволяет GitHub.
Обнаружение крупных атак на цепочку поставок, таких как компрометация инструмента мониторинга SolarWinds Orion в 2021 году российскими агентами, усилило призывы к повышению безопасности программного обеспечения и заставило такие фирмы-разработчики программного обеспечения, как GitHub, предъявлять более высокие требования к своим пользователям.
Другие упаковочные экосистемы ввели аналогичные правила. RubyGems, например, в августе прошлого года начала требовать многофакторную аутентификацию для владельцев гемов (пакетов) с более чем 180 миллионами загрузок. А Python Package Index объявил о введении двухфакторной аутентификации (2FA) в 2019 году, затем сделал это обязательным для любого проекта в 1 проценте лучших загрузок в прошлом году.
GitHub постепенно снижает планку обязательной двухфакторной аутентификации. В феврале 2022 года компания начала требовать двухфакторную аутентификацию для сопровождающих 100 лучших пакетов npm. В ноябре 2022 года он пересмотрел свое требование, чтобы охватить всех сопровождающих популярных пакетов с более чем миллионом еженедельных загрузок или пакетов с более чем 500 зависимыми.
Новая политика, говорят Пейн и Сингхал, будет внедряться постепенно, а группы разработчиков, которые вносят свой вклад в код, будут получать одобрение на постоянной основе. Аккаунты, созданные для защиты сообщества, могут получать уведомления по электронной почте. После этого у призывников будет 45 дней для настройки 2FA, в течение которых можно ожидать напоминания.
Представитель компании отказался предоставить конкретные критерии для включения в программу, чтобы не вызывать дебатов по этому вопросу.
«Хотя GitHub не будет предоставлять информацию о том, как пользователи относятся к этим группам или в какую группу попадет конкретный пользователь, эти группы создаются на основе следующих критериев с акцентом на влияние на безопасность более широкой экосистемы», — сказал представитель. .
Как правило, к назначенным разработчикам относятся:
- Пользователи, опубликовавшие приложения GitHub или OAuth, действия или пакеты.
- Пользователи, создавшие релиз
- Пользователи, являющиеся администраторами предприятия и организации
- Пользователи, которые добавили код в репозитории, признанные критическими npm, OpenSSF, PyPI или RubyGems.
- Пользователи, которые внесли код примерно в четыре миллиона самых популярных общедоступных и частных репозиториев.
По истечении этого срока владельцы учетных записей должны будут включить 2FA для доступа к GitHub. Пользователи, как только они впервые попытаются войти в систему после истечения крайнего срока, будут иметь возможность отложить активацию на срок до недели, но после этого доступ к учетной записи будет ограничен для несоответствующих требованиям. А через 28 дней после внедрения 2FA зарегистрированным разработчикам будет предложено подтвердить настройку 2FA в качестве дополнительной проверки.
GitHub расширил доступные параметры 2FA и приложил усилия для обеспечения работоспособных вариантов восстановления учетной записи, таких как возможность отключения учетных записей электронной почты от учетных записей GitHub, заблокированных 2FA. Разработчики могут использовать TOTP, SMS, ключи безопасности или GitHub Mobile в качестве предпочтительного метода 2FA, а также могут использовать второй метод. SMS поддерживается, но не рекомендуется — как отмечают Пейн и Сингхал, это больше не рекомендуется в соответствии с NIST 800-63B.
«Программное обеспечение с открытым исходным кодом распространено повсеместно, и 90% компаний сообщают, что они используют открытый исходный код в своем проприетарном программном обеспечении», — говорят Пейн и Сингхал. «GitHub — важная часть экосистемы с открытым исходным кодом, поэтому мы серьезно относимся к обеспечению безопасности аккаунта». ®
