GitHub başlayacak uzun süredir beklenen bir güvenlik yükseltmesinin kullanıma sunulmasıGitHub.com’da koda katkıda bulunan tüm geliştiricilerin 2023’ün sonundan önce platforma erişmek için iki faktörlü kimlik doğrulamayı etkinleştirmesini gerektiriyor..
Pazartesi gününden itibaren GitHub, ayarlamalar için zaman tanımak amacıyla küçük geliştirici ve yönetici gruplarını e-posta yoluyla bilgilendirmeye başlayacak. İlk dönemden sonra GitHub, yıl boyunca kullanıma sunumu daha büyük gruplara ölçeklendirecek.
Güvenlik yükseltmesi, kötü amaçlı siber kampanyaların sık hedefi olan geliştiriciler için daha güçlü koruma sağlamak üzere tasarlanmıştır.
Hirsch Singhal, “Yazılım tedarik zincirinin güvenliğini sağlamak, geliştiriciyle başlar ve 2FA girişimimiz, hesap güvenliğini iyileştirerek yazılım geliştirmeyi güvence altına almak için platform genelindeki bir çabanın parçasıdır.” GitHub’daki personel ürün müdürü, e-posta yoluyla söyledi.
Kayıt için seçilen GitHub kullanıcıları, 28 gün sonra 2FA gerçekleştirmelerini ve ikinci faktör ayarlarını onaylamalarını isteyen bir istem alacak.
GitHub daha önce geliştiriciler için 2FA kimlik doğrulama planını kullanıma sunulduktan yaklaşık altı ay sonra Mayıs 2022’de duyurmuştu. npm güvenliğindeki geliştirmeler npm paket devralmalarının bir sonucu olarak. GitHub, birden fazla bakımcı gerektirecek şekilde güvenlik değişiklikleri yaptı Haftalık 1 milyon indirme veya 2FA’yı etkinleştirmek için 500’den fazla bağımlı.
GitHub’a göre Mayıs 2022 itibarıyla platformda 83 milyondan fazla geliştirici bulunuyordu. Singhal’a göre aktif kullanıcıların yaklaşık %20’si 2FA’yı etkinleştirdi. Milyonlarca geliştiricinin bu yıl 2FA’yı etkinleştirmesi bekleniyor.
Hesapların 2FA’yı yapılandırmak için toplam 45 günü olacak ve son tarihler beklemede olduğunda kullanıcılar bilgilendirilecek. Kullanıcılar, bildirimleri yedi güne kadar erteleyebilecek, ancak bundan sonra hesaplara yalnızca sınırlı erişime sahip olacak.
Kullanıcılar, 2FA için birden fazla seçeneğe sahip olacak ve aynı anda bir kimlik doğrulama uygulaması (TOTP) ile hesaplarında kayıtlı bir SMS numarasını kullanabilecek. GitHub, SMS’in daha az güvenli olduğu tespit edildiğinden, SMS yerine TOTP uygulamasıyla birlikte güvenlik anahtarları önerir.
SMS, artık NIST-800-63B yönergeleri kapsamında bir kimlik doğrulama yöntemi olarak önerilmemektedir.
GitHub dedi ki geçiş anahtarlarını dahili olarak test etmekullanım kolaylığı ile kimlik avına karşı direnci bir arada sunar.
Rival GitLab, 2FA gerektirmez, ancak mühendislik direktörü Wayne Haber’e göre şiddetle tavsiye edilir. Yetki olmamasına rağmenkullanıcılardan kullanıcı adı ve parola girmenin yanı sıra GitLab’ın risk değerlendirmesine dayalı olarak oluşturduğu bir e-posta kodu girmeleri istenebilir.
GitLab’ın 30 milyondan fazla kayıtlı kullanıcısı var.