Việc giới thiệu ủy quyền xác thực đa yếu tố (MFA) cho người dùng nền tảng của nó đã mang lại kết quả cho GitHub, vốn đã báo cáo sự gia tăng đáng kể trong việc áp dụng trong 12 tháng qua, khi nó tiếp tục nỗ lực cải thiện các tiêu chuẩn an ninh mạng trên phần mềm nguồn mở (OSS). ) cộng đồng.
Nhận thức được tác động bảo mật của các sự cố chuỗi cung ứng phần mềm đối với hàng nghìn tổ chức trên toàn thế giới đã bị xâm phạm thông qua các vấn đề phát sinh thông qua mã OSS không an toàn – sự cố Log4Shell được cho là tai tiếng nhất – GitHub bắt tay vào nỗ lực nâng cao tiêu chuẩn bảo mật chuỗi cung ứng bằng cách giải quyết các vấn đề với các nhà phát triển vào tháng 5 năm 2022.
Là một phần trong đó, họ đã giới thiệu MFA bắt buộc đối với những người dùng được chọn vào tháng 3 năm 2023, trước tiên tập trung vào những người được coi là có tác động quan trọng nhất đến chuỗi cung ứng phần mềm.
Trong 12 tháng qua, nền tảng này cho biết họ đã chứng kiến tỷ lệ chọn tham gia là 95% trong số những người đóng góp mã đã nhận được yêu cầu MFA, với số lượng đăng ký vẫn còn nhỏ giọt cho đến ngày nay. Nó nói thêm rằng trên phạm vi rộng hơn, nó đã chứng kiến sự gia tăng 54% trong việc áp dụng MFA trong số tất cả những người đóng góp tích cực cho các dự án được lưu trữ trên GitHub.
“Mặc dù công nghệ đã tiến bộ đáng kể để chống lại sự gia tăng của các mối đe dọa bảo mật phức tạp, nhưng thực tế là việc ngăn chặn cuộc tấn công mạng tiếp theo phụ thuộc vào việc thực hiện đúng các kiến thức cơ bản về bảo mật và nỗ lực bảo mật hệ sinh thái phần mềm phải bảo vệ các nhà phát triển thiết kế, xây dựng và duy trì. phần mềm mà tất cả chúng ta đều phụ thuộc vào,” Mike Hanley, giám đốc an ninh và phó chủ tịch kỹ thuật cấp cao tại GitHub viết.
“Là ngôi nhà của cộng đồng nhà phát triển lớn nhất thế giới, GitHub có vị trí đặc biệt trong việc giúp cải thiện tính bảo mật của chuỗi cung ứng phần mềm…. MFA mạnh mẽ vẫn là một trong những biện pháp phòng vệ tốt nhất chống lại việc chiếm đoạt tài khoản và sự thỏa hiệp chuỗi cung ứng sau đó.”
Ngoài việc thúc đẩy các nhà phát triển hướng tới việc vệ sinh mạng cơ bản tốt hơn, GitHub cho biết họ cũng nhận thấy người dùng áp dụng các phương tiện MFA an toàn hơn – bao gồm cả mật mã, việc giới thiệu chúng là trọng tâm chính của sáng kiến; nó đã đăng ký 1,4 triệu mật mã trên GitHub.com kể từ khi mở phiên bản beta công khai vào tháng 7 năm 2023 và công nghệ này đã nhanh chóng vượt qua các dạng MFA khác được Webauthn hỗ trợ trong việc sử dụng hàng ngày trên nền tảng này.
Vì lợi ích của tính linh hoạt, hiện tại, nó tiếp tục cung cấp các dạng MFA kém an toàn hơn, chẳng hạn như mã SMS, mặc dù Hanley cho biết GitHub đã cố gắng làm cho quy trình làm việc tích hợp MFA của mình khiến mọi người tránh xa SMS như một lựa chọn.
GitHub cũng báo cáo rằng khối lượng yêu cầu hỗ trợ liên quan đến MFA đã giảm ròng, điều này được cho là nhờ vào việc nghiên cứu và thiết kế người dùng trả trước, cũng như một số cải tiến quy trình hỗ trợ phụ trợ mà nó đã thực hiện.
Ngoài ra, Hanley cho biết, các nhà lãnh đạo OSS khác cũng đang tham gia. Ông viết: “Các tổ chức như RubyGems, PyPI và AWS đã cùng chúng tôi nâng cao tiêu chuẩn cho toàn bộ chuỗi cung ứng phần mềm, chứng minh rằng sự gia tăng lớn trong việc áp dụng MFA không phải là một thách thức không thể vượt qua”.
Kêu gọi hành động
Nhìn về phía trước, Hanley cho biết phạm vi của dự án cho đến nay đã ưu tiên các nhóm người dùng cụ thể dựa trên đặc quyền và hành động của họ, nhưng nhấn mạnh rằng GitHub rất muốn khám phá cách có thể yêu cầu nhiều người dùng đăng ký hơn trong 12 tháng tới và khuyến khích các nhà phát triển nâng cấp chuỗi thức ăn lên các yếu tố an toàn hơn như mật mã, trong khi vẫn duy trì trải nghiệm người dùng.
Họ cũng đang điều tra việc triển khai các tính năng bảo mật tài khoản khác như ràng buộc phiên và mã thông báo có thể cho phép người dùng quản lý rủi ro xâm phạm tài khoản hiệu quả hơn bất kể họ có đăng ký MFA hay không. Hanley cho biết vẫn còn nhiều việc phải làm để hỗ trợ những người dùng không thể truy cập vào điện thoại thông minh hoặc những người không có quyền kiểm soát phần mềm trên máy tính mà họ đang sử dụng để áp dụng MFA.
Hanley cho biết: “Là một nền tảng toàn cầu, chúng tôi tin rằng mọi người nên có quyền truy cập vào các công cụ giúp việc phát triển phần mềm trở nên dễ dàng và an toàn hơn, đồng thời chúng tôi đang nỗ lực thực thi xác thực mạnh mẽ cho càng nhiều nhà phát triển càng tốt”.
“Chúng tôi sẽ tiếp tục tìm giải pháp để bảo vệ các nhà phát triển, các dự án họ đang thực hiện và cộng đồng mà họ tham gia, nỗ lực làm việc để có được cách tiếp cận cân bằng nhằm cải thiện đáng kể tính bảo mật của toàn bộ chuỗi cung ứng phần mềm mà không hạn chế những đối tượng có quyền riêng tư khác nhau. các thiết lập hoặc môi trường trên khắp thế giới,” ông nói.
Đánh dấu kỷ niệm một năm kể từ ngày bắt đầu ủy quyền MFA, GitHub cho biết rõ ràng rằng trên thực tế có thể nâng cao tiêu chuẩn bảo mật mà không ảnh hưởng tiêu cực đến trải nghiệm người dùng và đang khuyến khích các công ty ngang hàng cũng như toàn ngành rộng hơn tăng cường mạnh mẽ. hãy cân nhắc việc đưa MFA trở thành một yêu cầu bắt buộc trên nền tảng của họ.