GitHub は 3 月 13 日から、すべての貢献開発者に対して 2FA 要件を実装します。

GitHub は、3 月 13 日以降、貢献するすべての開発者が 2 要素認証(2FA) を有効にする必要があると発表しました。同社によると、これはソフトウェア開発とサプライチェーンを確保するための取り組みだという。

「GitHub はソフトウェア サプライ チェーンの中心であり、ソフトウェア サプライ チェーンの保護は開発者から始まります」と GitHub は最新のブログで述べています。 「当社の 2FA プログラムは、アカウントのセキュリティを向上させることでソフトウェア開発を保護するプラットフォーム全体の取り組みの一環です。開発者のアカウントは、ソーシャル エンジニアリングやアカウント乗っ取り (ATO) の標的になることがよくあります。オープンソース エコシステムにおける開発者と消費者の保護このような攻撃から開発者を保護します。」これは、サプライ チェーンのセキュリティを確保するための最初で最も重要なステップです。」

2 FA 要件の実装は段階的に行われ、同社はまず小規模な開発者と管理者グループに働きかけると述べています。さらに、GitHub によれば、開発者グループは「彼らがとったアクションや貢献したコードに基づいて」選ばれるという。これは来年も続きます。

選ばれた人には電子メールで通知され、GitHub.com にも登録バナーが表示されます。通知が開始されると、開発者は 45 日以内に 2FA を設定する必要があります。 GitHub によると、この期間はさらに 1 週​​間延長されますが、その時点ではアカウントへのアクセスが制限されます。これを実施すると、新しいセキュリティ要件を事前に通知される人は、できるだけ早く 2FA を修正することをお勧めします。

一方、同社は、新たな要件を持つ投稿者に対して、SMS ではなく、より安全な 2FA 方式を選択することを推奨しています。

「可能な限りセキュリティ キーと TOTP を使用することを強くお勧めします」とブログには書かれています。 「SMS ベースの 2FA は同レベルの保護を提供しておらず、NIST 800-63B はそれを推奨していません。広く利用されている最も強力な方法は、WebAuthn 安全な認証標準をサポートする方法です。これらの方法には、物理​​的なセキュリティ キーだけでなく、 Windows Hello や、Face ID/Touch ID などのテクノロジを備えたパーソナル デバイスのサポートとして。」

以上がGitHub は 3 月 13 日から、すべての貢献開発者に対して 2FA 要件を実装します。の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。