GitHub planea implementar la autenticación de dos factores para todos los usuarios antes de 2023

Github anunció el miércoles un plan para implementar la autenticación de dos factores (2FA) para todos los colaboradores antes de finales de 2023. Esto supondrá un cambio significativo para la mayoría de los usuarios de Github, ya que según la compañía, solo el 16.5% de los usuarios activos de Github y el 6.44% de los usuarios de npm han habilitado una o más formas de 2FA.

GitHub planea implementar la autenticación de dos factores para todos los usuarios antes de 2023 - Desarrollo | Imagen 1 Newsmatic

Índice de Contenido
  1. Implementación de la autenticación de dos factores
  2. Mayor seguridad para cuentas de desarrolladores
  3. Fortalecimiento de la cadena de suministro de software
  4. Recomendaciones de seguridad adicionales
  5. Adopción de la autenticación de dos factores

Implementación de la autenticación de dos factores

La compañía comenzó la transición en febrero de 2022 al inscribir a todos los mantenedores de los 100 paquetes principales en el registro de npm en una autenticación de dos factores obligatoria. En marzo de 2022, Github inscribió todas las cuentas de npm en una verificación de inicio de sesión mejorada. A finales de mayo de 2022, todos los desarrolladores que mantienen los 500 paquetes principales deben completar este nuevo paso de seguridad.

Github planea inscribir a los mantenedores de todos los paquetes de alto impacto, lo que incluye aquellos con más de 500 dependencias o 1 millón de descargas semanales.

Mayor seguridad para cuentas de desarrolladores

Myles Borins, Gerente de Producto en Github, dijo que aproximadamente el 88% de los principales mantenedores ya han habilitado 2FA.

“El trabajo que hemos realizado para mejorar la seguridad de las cuentas de npm también nos ha proporcionado una gran perspectiva y nos permite considerar nuevos cambios en la tecnología y los estándares de seguridad a medida que avanzamos en nuestro trabajo para GitHub.com”, dijo Borins. “Como ejemplo, el trabajo para actualizar los procesos de recuperación de bloqueo de cuenta de npm nos ha proporcionado lecciones útiles a medida que trabajamos para mejorar la recuperación de cuentas en GitHub.com”.

Se sigue utilizando la programación COBOL

Borins dijo que Github quiere ver que más usuarios adopten 2FA tanto para proteger su código fuente en Github como para publicarlo en el registro público de npm.

“Al utilizar los tokens de automatización de npm y las Acciones de Github, los usuarios pueden automatizar completamente el proceso de implementación de sus paquetes de manera segura mientras protegen completamente sus cuentas con 2FA”, dijo Borins.

Fortalecimiento de la cadena de suministro de software

En una publicación de blog sobre la noticia, Mike Hanley, director de seguridad de Github, dijo que el cambio fue motivado por las adquisiciones de paquetes de npm que resultaron de cuentas de desarrolladores comprometidas que no tenían 2FA habilitado. El Administrador de paquetes de Node (npm) es un repositorio en línea para publicar proyectos Node.js de código abierto y una utilidad de línea de comandos para trabajar con el repositorio en la instalación de paquetes, la gestión de versiones y la gestión de dependencias.

El nuevo requisito de 2FA tiene como objetivo reducir el riesgo de ataques de ingeniería social, robo de credenciales y otras tácticas utilizadas para obtener acceso a las cuentas de desarrolladores. Github ve este nuevo requisito como un paso para asegurar la cadena de suministro de software:

“Las cuentas comprometidas se pueden utilizar para robar código privado o realizar cambios maliciosos en ese código. Esto no solo pone en riesgo a las personas y organizaciones asociadas con las cuentas comprometidas, sino también a los usuarios del código afectado. El potencial de impacto descendente en el ecosistema de software y la cadena de suministro en general es sustancial”.

Recomendaciones de seguridad adicionales

Github anunció en enero de 2022 que los desarrolladores podían utilizar Github Mobile en iOS y Android para la autenticación de dos factores. La compañía también publicó una guía para asegurar la cadena de suministro de software que incluía las siguientes recomendaciones:

El fondo de código abierto de Appwrite: un camino novedoso hacia la sostenibilidad
  • Configurar la autenticación de dos factores para su cuenta personal
  • Conectarse a Github utilizando claves SSH
  • Centralizar la autenticación de usuarios (empresas)
  • Configurar la autenticación de dos factores (organizaciones y empresas)
  • Crear un programa de gestión de vulnerabilidades para dependencias
  • Proteger los tokens de comunicación
  • Evitar patrones de codificación vulnerables en su repositorio
  • Firmar sus compilaciones
  • Fortalecer la seguridad de las Acciones de Github

Adopción de la autenticación de dos factores

Microsoft recomienda implementar 2FA como una forma de prevenir el 99.9% de los ataques de compromiso de cuentas, y Google también ha comenzado a utilizar esta táctica de seguridad. En 2021, Google comenzó a inscribir automáticamente a los usuarios en la verificación en dos pasos. Según la compañía, esta protección ahora se encuentra en su lugar para más de 150 millones de personas y más de dos millones de usuarios de YouTube. Este cambio ha resultado en una disminución del 50% en las cuentas comprometidas, según la compañía.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Desarrollo, allí encontraras muchos artículos similares a GitHub planea implementar la autenticación de dos factores para todos los usuarios antes de 2023 , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.