GitHub mettra en œuvre les exigences 2FA pour tous les développeurs contributeurs à partir du 13 mars

GitHuba annoncé qu'à partir du 13 mars, tous les développeurs contributeurs devront activer l'Authentification à deux facteurs(2FA). Selon l'entreprise, il s'agit d'une initiative visant à sécuriser le développement de logiciels et les chaînes d'approvisionnement.

« GitHub est au cœur de la chaîne d'approvisionnement logicielle, et la sécurisation de la chaîne d'approvisionnement logicielle commence par les développeurs », a déclaré GitHub dans son dernier article de blog. "Notre programme 2FA fait partie d'un effort à l'échelle de la plateforme visant à protéger le développement de logiciels en améliorant la sécurité des comptes. Les comptes de développeurs sont souvent ciblés par l'ingénierie sociale et les piratages de comptes (ATO). Protéger les développeurs et les consommateurs dans l'écosystème open source Protéger les développeurs contre de telles attaques est la première et la plus critique étape pour garantir la sécurité de la chaîne d’approvisionnement. De plus, les groupes de développeurs seront sélectionnés "en fonction des actions qu'ils entreprennent ou du code auquel ils contribuent", selon GitHub. Cela continuera l’année prochaine.

Ceux qui seront sélectionnés seront informés par e-mail et verront également une bannière d'inscription sur GitHub.com. Une fois la notification commencée, les développeurs disposeront de 45 jours pour configurer leur 2FA. Selon GitHub, cette période sera prolongée d'une semaine supplémentaire, mais l'accès au compte sera alors restreint. Une fois cela en place, il est conseillé à ceux qui seront informés à l’avance des nouvelles exigences de sécurité de corriger leur 2FA dès que possible.

D'autre part, l'entreprise encourage les contributeurs qui auront de nouvelles exigences à choisir la méthode 2FA, plus sécurisée, au lieu du SMS.

« Nous vous recommandons fortement d'utiliser les clés de sécurité et TOTP autant que possible », lit-on sur le blog. "Le 2FA basé sur SMS n'offre pas le même niveau de protection et le NIST 800-63B ne le recommande plus. Les méthodes les plus puissantes largement disponibles sont celles qui prennent en charge la norme d'authentification sécurisée WebAuthn. Ces méthodes incluent également des clés de sécurité physiques. comme la prise en charge de Windows Hello ou des appareils personnels dotés de technologies telles que Face ID/Touch ID »

.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!