Los cambios en las reglas de autenticación existentes se introducirán como parte de un esfuerzo de toda la plataforma para proteger el ecosistema de software a través de una mejor seguridad de la cuenta, según el repositorio de código propiedad de Microsoft.
En abril, Heroku, una plataforma en la nube propiedad de Salesforce, anunció una violación de seguridad. Tras la pérdida de tokens OAuth, una sección de sus repositorios git privados se vio comprometida, lo que podría permitir el acceso no deseado a los repositorios de los clientes.
La cadena de suministro de software, según GitHub, “comienza con el desarrollador”, y la compañía ha endurecido sus restricciones en respuesta, y agregó que las cuentas de desarrollador son “objetivos comunes para la ingeniería social y la adquisición de cuentas”.
El reciente problema de los paquetes maliciosos que se cargan en el repositorio npm de GitHub también ha planteado preocupaciones sobre la seguridad de la cadena de suministro de software.
Sin embargo, el repositorio de código ha reconocido que la seguridad y la experiencia del usuario pueden ser mutuamente excluyentes. Como resultado, la fecha límite de 2023 permitirá a la organización “optimizar” el dominio de GitHub antes de que se finalicen las pautas.
Con solo el 16.5 por ciento de los usuarios activos de GitHub y el 6.44 por ciento de los usuarios de npm que usan al menos un tipo de 2FA, la implementación de 2FA puede estar convirtiéndose en un problema importante para GitHub.
La autenticación básica, que se basaba únicamente en usuarios y contraseñas, ya se ha eliminado gradualmente a favor de la incorporación de tokens OAuth o Access. Cuando 2FA no está habilitado, la compañía también ha implementado la verificación de dispositivos basada en correo electrónico.
El objetivo actual es continuar implementando el 2FA obligatorio en npm, comenzando con los 100 paquetes principales y hasta los 500, luego aquellos con más de 500 dependientes o un millón de descargas semanales. El conocimiento obtenido de este banco de pruebas se aplicará a GitHub.
“Si bien estamos gastando profundamente en toda nuestra plataforma y en la industria en general para fortalecer la seguridad general de la cadena de suministro de software, el valor de ese esfuerzo se limita fundamentalmente si no abordamos el peligro persistente de violación de la cuenta”, agregó Hanley. “Hoy, nuestro compromiso de crear una mayor seguridad de la cadena de suministro a través de prácticas seguras para desarrolladores individuales continúa nuestra respuesta a este desafío”, dijo Mike Hanley, Director de Seguridad (CSO) de GitHub.
GitHub implementó una nueva función de escaneo en abril para proteger a los desarrolladores y evitar que revelen secretos inadvertidamente. La función de usuario empresarial es una comprobación opcional que los desarrolladores deben habilitar antes de iniciar una inserción de git.
A finales de 2023, según Hanley, cualquier desarrollador que envíe código a la plataforma deberá activar al menos un tipo de 2FA.
Before you can receive free updates, link building strategies or SEO tips you need to confirm your email right now.
(It’s easy)
Just go to your inbox, open the confirmation email from the SIA, and click the link.
And that’s it!
PS: If you don’t see a confirmation email, please check your spam/junk or promotions folders. Sometimes the confirmation message ends up there by mistake.
Obtenez nos 7 études S.I.A. les plus controversées qui feront trembler la tête même les SEO les plus avancés d’incrédulité.
De plus, nous vous alerterons lorsque nous publierons de nouveaux tests au public.
Obtenga nuestros 7 estudios S.I.A. más controvertidos que harán que incluso el SEO más avanzado sacuda la cabeza con incredulidad.
Además, le avisaremos cuando publiquemos nuevas pruebas al público.
Get Our Most 7 Controversial S.I.A. Studies That Will Make Even the Most Advanced SEO Shake Their Head in Disbelief.
Plus we will alert you when we publish new tests to the public.
