GitHub, platformdaki herhangi bir projeye kod katkısı yapan tüm geliştiriciler için yazılım tedarik zincirini desteklemek üzere tasarlanmış bir hareket olan iki faktörlü kimlik doğrulama (2FA) gerektirecek şekilde ayarlanmıştır.
Microsoft’un sahip olduğu kod barındırma platformu, geçen Mayıs ayında, süreci o yılın başlarında başlatmış olmasına rağmen, 2023’ün sonuna kadar 2FA’yı zorunlu hale getirmeyi planladığını duyurdu. ilk 100 paket içintakip etti Kasım’da diğer “yüksek etkili” paketler tarafından. Bunlar, haftalık 1 milyondan fazla indirme veya 500’den fazla bağımlı (söz konusu paketi kullanan projeler) olan paketler olarak tanımlandı.
Şimdi GitHub, yılın geri kalanında farklı geliştirici gruplarına ve proje yöneticilerine kademeli olarak uygulanacak bir süreç olan platform çapında bir yaptırımın 13 Mart 2023’te (bundan dört gün sonra) başlayacağını onayladı.
Tedarik zinciri
Yaklaşık 100 milyon geliştirici kullanıcısıyla GitHub, küresel yazılım tedarik zincirinin çok önemli bir parçasıdır. Ve bir süredir yazılım tedarik zinciri güvenliğiyle ilgili endişeler artsa da, son yıllarda yaşanan bir dizi yüksek profilli saldırı, konuyu dünya çapında siyasi gündemlerin en üst sıralarına taşıdı. Buna, 2020’de ABD yazılım şirketi SolarWinds’te yazılımı kullanan çok sayıda devlet ve kurumsal varlığı etkileyen ihlal ve Log4j adlı popüler bir açık kaynak günlük kaydı aracında ortaya çıkan kritik Log4Shell güvenlik açığı da dahildir.
Bu tür göze çarpan güvenlik olayları, Biden yönetimini 2021’de ülkenin siber savunmasını güvence altına almak için tasarlanmış bir yürütme emri yayınladığında harekete geçirdi. Ve geçen hafta, hükümet yeni bir siber güvenlik stratejisi yayınladı Bu, Big Tech’in sistemlerinin sağlam olmasını sağlamak için daha fazla sorumluluk üstlenmesi çağrılarını içeriyordu; bu, zorunlu 2FA’nın bir şekilde yardımcı olacağı bir şey.
Özellikle açık kaynak yazılımı, büyük ölçüde yaygınlığı nedeniyle, yönetimin son birkaç yıldır siber güvenlik çabalarının ana odak noktası olmuştur. Aslında, yazılımların büyük çoğunluğu en azından bazı açık kaynak bileşenleri içerir ve bu bileşenlerin çoğu, boş zamanlarında çok az mali destekle üzerinde çalışan bir veya iki geliştiricinin eseridir.
Ve bu arka plana karşı GitHub, önemli açık kaynak projelerinin sosyal mühendislik veya benzer hesap ele geçirme girişimleri yoluyla kötü aktörler tarafından ele geçirilmesi olasılığını azaltmak için geçen yıl 2FA gündemini zorluyor.
Kademeli sunum
GitHub’ın 2FA’yı uygulamaya yönelik kademeli yaklaşımı, dahil edilmesi gereken herkesin bunu kendi isteğiyle ve zamanında yapmasını sağlamak için hesaplanmış bir girişimdir.
GitHub bir blog yazısında, “Bu kademeli sunum, geliştiricilerin başarılı bir şekilde katılmasını ve yıl ilerledikçe daha büyük gruplara ölçeklendirme yapmadan önce gerektiği gibi ayarlamalar yapmasını sağlamamıza olanak tanıyacak.” “GitHub, yazılım tedarik zincirinin merkezinde yer alır ve yazılım tedarik zincirinin güvenliğini sağlamak, geliştirici ile başlar.”
Bu ilk 2FA kayıt işlemi sırasında hedeflenen geliştiriciler bir e-posta alacak ve ayrıca GitHub kontrol panellerinde kaydolmalarını isteyen bir başlık görecekler. Ardından, 2FA’yı etkinleştirmek için 45 günleri olacak ve bu süre boyunca düzenli olarak uyulması istenecektir. Bu 45 günlük süre içinde 2FA yapılandırılmazsa, GitHub hesaplarına bir sonraki erişmeye çalıştıklarında 2FA’yı etkinleştirmeleri için dürtülecekler, ancak bunu bir hafta daha “erteleme” seçeneklerine sahip olacaklar. Bundan sonra, GitHub hesaplarının kod yayınlama yeteneği de dahil olmak üzere herhangi bir yönüne erişmek isterlerse, 2FA kurmaktan başka seçenekleri olmayacak.
GitHub kullanıcıları SMS, fiziksel güvenlik anahtarları, üçüncü taraf kimlik doğrulama uygulamaları ve GitHub mobil uygulamasından kendi 2FA mekanizmalarını seçebilirken GitHub, insanların hataya karşı güvenli bir önlem olarak birden fazla 2FA yöntemini etkinleştirmelerini tavsiye ediyor.
GitHub 2FA iş başında. Görsel Kaynakları: GitHub
2FA zorlamasının ilk kayıtla sona ermeyeceğini belirtmekte fayda var. 2FA’yı kuranlar, 28 gün sonra, geliştiricilerin yanlış yapılandırılmış bir kimlik doğrulama uygulaması veya yanlış yazılmış cep telefonu numarası nedeniyle hesaplarının kilitlenmesini önlemek için tasarlanmış 2FA yöntemini doğrulamalarını isteyen başka bir istem alacak. Bu aşamada, kullanıcı hesabının kimliğini doğrulayamazsa, hesabına erişimini kaybetmeden 2FA yöntemini sıfırlaması istenir.
Hangi geliştiricilerin 13 Mart’tan itibaren 2FA istemleri almaya başlamayı bekleyebilecekleri açısından GitHub, önceden söylenmiş yayınlama sıklığı, işletmelerde yönetici olup olmadıkları ve daha popüler kamu ve özel havuzlara katkıda bulunup bulunmadıkları gibi çeşitli veri noktalarını hesaba katacağını.
Bu ilk sunumun ardından GitHub, öğrenilen tüm dersleri 2023’e kadar daha geniş bir kullanıma sunacağını söyledi.