O guia do desenvolvedor preguiçoso para a criação de chatbots de IA
26 de abril de 2024
Como curar fraquezas do LLM com bancos de dados de vetores
27 de abril de 2024
O GitHub tem a missão de ajudar a proteger milhões de desenvolvedores por meio de sua política obrigatória de autenticação de dois fatores (2FA).
Através da iniciativa da empresa para tornar o ecossistema de software mais seguro, o GitHub aumentou drasticamente a adoção de 2FA entre os contribuidores de código, com uma taxa de aceitação de 95% e um aumento de 54% na adoção geral entre os contribuidores ativos.
Significado do GitHub
O GitHub, que hospeda uma parte significativa do software de código aberto do mundo, é um elo importante na segurança da cadeia global de fornecimento de software, disse Janet Worthington, analista da Forrester.
“Implementar a autenticação obrigatória de dois fatores é uma medida crucial para evitar o sequestro de contas de usuários de desenvolvedores por atores mal-intencionados, protegendo assim o software de código aberto do qual todos dependemos”, disse ela ao The New Stack.
Há pouco mais de um ano (março de 2023), o GitHub começou a lançar oficialmente sua iniciativa – inicialmente introduzida em 2022 – para exigir que todos os desenvolvedores que contribuem com código no GitHub.com habilitem uma ou mais formas de 2FA até o final de 2023.
“Como a forte autenticação multifatorial continua sendo uma das melhores defesas contra o controle de contas e o subsequente comprometimento da cadeia de suprimentos, estabelecemos uma meta ambiciosa de exigir que os usuários que contribuem com código no GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA ) até o final de 2023”, escreveu Michael Hanley, diretor de segurança e vice-presidente sênior de engenharia do GitHub, em uma postagem no blog.
O GitHub então investiu um ano de pesquisa e design em torno do implementação desses requisitos, seguido pelo implementação gradual de integração do usuário.
Descobertas
Em retrospecto, Hanley disse que o GitHub viu:
- Aumento dramático na adoção de 2FA no GitHub.com com foco nos usuários que têm o impacto mais crítico na cadeia de fornecimento de software.
- Usuários adotando meios mais seguros de 2FA, incluindo chaves de acesso.
- Redução líquida no volume de tickets de suporte relacionados ao 2FA, algo que creditamos à intensa pesquisa e design iniciais do usuário, bem como às melhorias no processo de suporte.
- Outras organizações como RubyGems, PyPI, e a AWS se juntam a nós para elevar o nível de toda a cadeia de fornecimento de software, provando que grandes aumentos na adoção de 2FA não são um desafio intransponível.
Além disso, quase 1,4 milhão de chaves de acesso, uma forma mais segura de 2FA, foram registradas no GitHub.com desde sua introdução em julho de 2023.
Além disso, o GitHub reduziu a participação de SMS como segundo fator em quase 23% e aumentou 47% a probabilidade de os usuários configurarem duas ou mais formas de 2FA.
Além disso, devido a investimentos significativos na experiência e no design do usuário, o GitHub registrou uma redução de um terço nos tickets de suporte relacionados ao 2FA e uma redução de 54% nos tickets de recuperação de conta 2FA que exigem intervenção humana.
Medindo a eficácia
David Vance, analista do Enterprise Strategy Group, disse que embora aplauda o GitHub pela aplicação obrigatória do 2FA no ano passado – que ele caracterizou como “necessário e há muito esperado” – medir a eficácia da iniciativa não é tão simples.
“Curiosamente, você só sabe se um controle de segurança é eficaz observando a falta de incidentes relacionados (a menos que o controle tenha uma maneira de medir tentativas bem-sucedidas e malsucedidas), disse Vance. “O GitHub teve uma diminuição nas tentativas de invasão/autenticação não autorizada de contas após a implementação do 2FA obrigatório? Sinceramente, não sei, mas gostaria de pensar (espero) que sim.”
Vance observou que o GitHub sofreu vazamentos de tokens no ano passado.
“Embora eu ache que a aplicação obrigatória do 2FA foi um passo na direção certa, acredito firmemente que eles não foram longe o suficiente”, disse ele ao The New Stack. “Acho que o GitHub ainda tem muito trabalho a fazer em termos de autenticação e aplicação de segurança. Eles devem aumentar o uso de 2FA para autenticação multifatorial usando geolocalização e/ou formas adicionais de autenticação para mitigar incidentes como tokens, chaves e certificados perdidos/roubados. Os bancos que uso on-line têm esse recurso, então por que o GitHub não deveria?”
No entanto, “a campanha do GitHub tem sido eficaz, como evidenciado por seus relatos de uma alta taxa de aceitação para 2FA e, mais importante, o uso de chaves de acesso como o segundo fator, que é mais desafiador para os invasores contornarem”, disse Worthington, da Forrester. . “A maioria das organizações utiliza código aberto para potencializar aplicativos e experiências digitais e, portanto, tem a obrigação de retribuir à comunidade de código aberto, dedicando tempo ao desenvolvedor, encontrando e corrigindo falhas de segurança e fazendo contribuições financeiras para projetos e comunidades de código aberto, como o Apache Foundation, Cloud Native Computing Foundation ou Linux Foundation.”
No futuro, o GitHub planeja continuar expandindo os requisitos 2FA para mais usuários, melhorar a experiência do usuário e incentivar a adoção de fatores mais seguros, como chaves de acesso. A empresa incentiva outras organizações a unirem esforços para proteger o ecossistema de software, implementando requisitos 2FA semelhantes em suas plataformas.
O post 2FA Push do GitHub aumenta a adoção entre os desenvolvedores apareceu pela primeira vez em The New Stack.
