Les modifications apportées aux règles d’authentification existantes seront introduites dans le cadre d’un effort à l’échelle de la plate-forme visant à sécuriser l’écosystème logiciel grâce à une sécurité améliorée des comptes, selon le référentiel de code appartenant à Microsoft.
En avril, Heroku, une plate-forme cloud appartenant à Salesforce, a annoncé une faille de sécurité. Suite à la perte de jetons OAuth, une section de ses dépôts git privés a été compromise, permettant potentiellement un accès indésirable aux dépôts des clients.
La chaîne d’approvisionnement des logiciels, selon GitHub, « commence avec le développeur », et la société a resserré ses restrictions en réponse, ajoutant que les comptes de développeur sont « des cibles communes pour l’ingénierie sociale et la prise de contrôle de compte ».
Le récent problème des paquets malveillants téléchargés dans le référentiel npm de GitHub a également soulevé des préoccupations concernant la sécurité de la chaîne d’approvisionnement logicielle.
Toutefois, le référentiel de code a reconnu que la sécurité et l’expérience utilisateur peuvent s’exclure mutuellement. En conséquence, la date limite de 2023 permettra à l’organisation d’«optimiser » le domaine GitHub avant que les directives ne soient finalisées.
Avec seulement 16,5% des utilisateurs actifs de GitHub et 6,44% des utilisateurs de npm utilisant au moins un type de 2FA, la mise en œuvre de 2FA pourrait devenir un problème majeur pour GitHub.
L’authentification de base, qui reposait uniquement sur les utilisateurs et les mots de passe, a déjà été progressivement supprimée en faveur de l’intégration de jetons OAuth ou Access. Lorsque 2FA n’est pas activé, la société a également mis en œuvre la vérification des appareils par e-mail.
L’objectif actuel est de continuer à déployer le 2FA obligatoire sur npm, en commençant par les 100 meilleurs paquets et jusqu’aux 500, puis ceux avec plus de 500 personnes à charge ou un million de téléchargements hebdomadaires. Les connaissances acquises à partir de ce banc d’essai seront appliquées à GitHub.
« Alors que nous dépensons énormément sur l’ensemble de notre plate-forme et de l’ensemble de l’industrie pour renforcer la sécurité globale de la chaîne d’approvisionnement logicielle, la valeur de cet effort est fondamentalement limitée si nous ne nous attaquons pas au danger persistant de violation de compte », a ajouté Hanley. « Aujourd’hui, notre engagement à créer une plus grande sécurité de la chaîne d’approvisionnement grâce à des pratiques sûres pour les développeurs individuels poursuit notre réponse à ce défi », a déclaré Mike Hanley, directeur de la sécurité (CSO) de GitHub.
GitHub a mis en place une nouvelle fonctionnalité d’analyse en avril pour protéger les développeurs et les empêcher de divulguer des secrets par inadvertance. La fonctionnalité d’utilisateur professionnel est une vérification facultative que les développeurs doivent activer avant de lancer un push git.
D’ici la fin de 2023, selon Hanley, tout développeur soumettant du code à la plate-forme devra activer au moins un type de 2FA.
Before you can receive free updates, link building strategies or SEO tips you need to confirm your email right now.
(It’s easy)
Just go to your inbox, open the confirmation email from the SIA, and click the link.
And that’s it!
PS: If you don’t see a confirmation email, please check your spam/junk or promotions folders. Sometimes the confirmation message ends up there by mistake.
Obtenez nos 7 études S.I.A. les plus controversées qui feront trembler la tête même les SEO les plus avancés d’incrédulité.
De plus, nous vous alerterons lorsque nous publierons de nouveaux tests au public.
Obtenga nuestros 7 estudios S.I.A. más controvertidos que harán que incluso el SEO más avanzado sacuda la cabeza con incredulidad.
Además, le avisaremos cuando publiquemos nuevas pruebas al público.
Get Our Most 7 Controversial S.I.A. Studies That Will Make Even the Most Advanced SEO Shake Their Head in Disbelief.
Plus we will alert you when we publish new tests to the public.
