Platformunun kullanıcıları için çok faktörlü kimlik doğrulama (MFA) yetkisinin getirilmesi, açık kaynaklı yazılım (OSS) genelinde siber güvenlik standartlarını iyileştirme çabasını sürdürürken, son 12 ayda benimsenmede büyük bir artış olduğunu bildiren GitHub’a meyvesini verdi. ) toplum.
Yazılım tedarik zinciri sorunlarının, güvenli olmayan OSS kodu yoluyla ortaya çıkan sorunlar nedeniyle tehlikeye atılan dünya çapındaki binlerce kuruluş üzerindeki güvenlik etkisinin farkında olan GitHub, geliştiricilere hitap ederek tedarik zinciri güvenliği çıtasını yükseltmek için bir girişimde bulundu. Mayıs 2022’de.
Bunun bir parçası olarak, Mart 2023’te seçilen kullanıcılar için zorunlu MFA’yı uygulamaya koydu ve öncelikle yazılım tedarik zinciri üzerinde en kritik etkiye sahip olduğu düşünülenlere odaklandı.
Geçtiğimiz 12 ayda platform, MFA şartını alan kod katılımcıları arasında %95’lik bir katılım oranı gördüğünü ve kayıtların bugün hala gelmeye devam ettiğini söylüyor. Daha geniş anlamda, GitHub tarafından barındırılan projelere aktif katkıda bulunan tüm kişiler arasında MFA’nın benimsenmesinde %54’lük bir artış görüldüğünü de ekledi.
“Teknoloji, karmaşık güvenlik tehditlerinin yayılmasıyla mücadele etmek için önemli ölçüde ilerlemiş olsa da gerçek şu ki, bir sonraki siber saldırıyı önlemek, güvenlik temellerinin doğru alınmasına bağlıdır ve yazılım ekosistemini güvence altına alma çabaları, tasarlayan, oluşturan ve bakımını yapan geliştiricileri korumalıdır. hepimizin güvendiği yazılım,” diye yazdı GitHub güvenlik şefi ve mühendislikten sorumlu kıdemli başkan yardımcısı Mike Hanley.
“Dünyanın en büyük geliştirici topluluğuna ev sahipliği yapan GitHub, yazılım tedarik zincirinin güvenliğini artırmaya yardımcı olacak eşsiz bir konumda…. Güçlü MFA, hesapların ele geçirilmesine ve ardından gelen tedarik zinciri uzlaşmalarına karşı en iyi savunmalardan biri olmayı sürdürüyor.”
GitHub, geliştiricileri daha iyi temel siber hijyene yönlendirmenin yanı sıra, kullanıcıların MFA’nın daha güvenli araçlarını benimsediğini de gördüğünü söylüyor; girişin ana odak noktası olan geçiş anahtarları da dahil; Temmuz 2023’te herkese açık beta sürümünün açılmasından bu yana GitHub.com’da 1,4 milyon geçiş anahtarı kaydetti ve teknoloji, platformdaki günlük kullanımda diğer Webauthn destekli MFA biçimlerini hızla geride bıraktı.
Esneklik adına şimdilik SMS kodları gibi daha az güvenli MFA formları sunmaya devam ediyor; ancak Hanley, GitHub’ın MFA işe alım iş akışlarının insanları SMS’ten uzaklaştırmayı bir seçenek olarak seçmeye çalıştığını söyledi.
GitHub ayrıca, MFA ile ilgili destek bildirim hacimlerinde net bir azalma olduğunu bildirdi; bunu, yoğun ön kullanıcı araştırması ve tasarımının yanı sıra yaptığı bazı arka uç destek süreci iyileştirmelerine borçludur.
Ayrıca Hanley, diğer OSS liderlerinin de sürece dahil olduğunu söyledi. “RubyGems, PyPI ve AWS gibi kuruluşlar, tüm yazılım tedarik zinciri için çıtayı yükseltme konusunda bize katıldı ve MFA’nın benimsenmesindeki büyük artışların aşılamaz bir zorluk olmadığını kanıtladı” diye yazdı.
Eylem çağrısı
İleriye dönük olarak Hanley, proje kapsamında şu ana kadar belirli kullanıcı gruplarına ayrıcalıkları ve eylemlerine göre öncelik verildiğini söyledi ancak GitHub’un önümüzdeki 12 ay içinde daha fazla kullanıcının kaydolmasını nasıl gerektirebileceğini keşfetmeye istekli olduğunu ve bunu teşvik ettiğini vurguladı. geliştiriciler, kullanıcı deneyimini korurken gıda zincirini geçiş anahtarları gibi daha güvenli faktörlere taşıyacak.
Ayrıca, kullanıcıların MFA’ya kaydolmuş olup olmadıklarına bakılmaksızın hesap güvenliği riskini daha etkili bir şekilde yönetmelerine olanak tanıyan oturum ve belirteç bağlama gibi diğer hesap güvenliği özelliklerinin uygulanmasını da araştırıyor. Hanley, bir akıllı telefona erişemeyen veya MFA’yı benimsemek için kullandıkları bilgisayardaki yazılım üzerinde kontrolü olmayan kullanıcıları desteklemek için hala yapılması gereken çok iş olduğunu söyledi.
Hanley, “Küresel bir platform olarak, herkesin yazılım geliştirmeyi daha kolay ve daha güvenli hale getiren araçlara erişmesi gerektiğine inanıyoruz ve mümkün olduğu kadar çok geliştirici için güçlü kimlik doğrulamayı zorunlu kılma çabalarımız devam ediyor” dedi.
“Geliştiricileri, üzerinde çalıştıkları projeleri ve katıldıkları toplulukları korumak için çözümler bulmaya devam edeceğiz; farklı özelliklere sahip olanları kısıtlamadan tüm yazılım tedarik zincirinin güvenliğini büyük ölçüde artıran dengeli bir yaklaşım benimsemek için çok çalışacağız. dünyanın her yerindeki kurulumlar veya ortamlar” dedi.
MFA yetkisinin başlamasının birinci yıl dönümünü kutlayan GitHub, kullanıcı deneyimini olumsuz etkilemeden güvenlik çıtasını yükseltmenin aslında mümkün olduğunun açık olduğunu söyledi ve benzerlerini ve daha geniş anlamda sektörü güçlü bir şekilde harekete geçmeye teşvik ediyor. MFA’yı kendi platformlarında da zorunlu bir gereklilik haline getirmeyi düşünün.