A autenticação de dois fatores (2FA) está sendo amplamente implementada pelas empresas de tecnologia, sobretudo porque configuram uma maior segurança às contas dos usuários, nas mais diversas plataformas. O GitHub já implementou a autenticação 2FA, mas muitos desenvolvedores ainda não a utilizam. Assim, a empresa pretende obrigar os desenvolvedores que contribuem com código na plataforma, a utilizarem esse método de autenticação a partir da próxima semana.
GitHub obrigará desenvolvedores a utilizarem autenticação 2FA
O negócio de hospedagem de código GitHub da Microsoft planeja começar a exigir que os desenvolvedores que contribuem para projetos públicos protejam suas contas usando autenticação de dois fatores (2FA) até segunda-feira, 13 de março.
A implementação de segurança elevada está em andamento desde o ano passado, quando a empresa anunciou que tornaria o 2FA obrigatório até o final de 2023, seguindo um mandato anterior de 2FA mais direcionado. A empresa diz que sua iniciativa 2FA faz parte de um esforço em toda a plataforma para proteger o desenvolvimento de software, melhorando a segurança da conta.
O motivo disso é que comprometer a conta de um desenvolvedor de software tem o potencial de fornecer ao invasor acesso a todos os dispositivos que executam o código do desenvolvedor, possivelmente uma enorme expansão da superfície de ataque devido ao amplo compartilhamento de código que o GitHub permite.
Autenticação
O GitHub tem exigido cada vez mais o uso da autenticação 2FA. Em fevereiro de 2022, a empresa começou a exigir 2FA para os mantenedores dos 100 principais pacotes npm. Em novembro de 2022, revisou seu requisito para cobrir todos os mantenedores de pacotes populares com mais de um milhão de downloads semanais ou pacotes com mais de 500 dependentes.
A nova política será implementada gradualmente, com grupos de desenvolvedores que contribuem com código obtendo aprovação de forma contínua. As contas elaboradas para defender a comunidade podem esperar ser notificadas por e-mail. osteriormente, os convocados terão 45 dias para configurar o 2FA, período durante o qual os lembretes podem ser esperados.
Em geral, os desenvolvedores que precisarão usar a autenticação, incluem: usuários que publicaram aplicativos GitHub ou OAuth ou Actions ou pacotes; usuários que criaram uma versão; usuários que são administradores corporativos e organizacionais; usuários que contribuíram com código para repositórios considerados críticos por npm, OpenSSF, PyPI ou RubyGems; usuários que contribuíram com código para os aproximadamente quatro milhões de repositórios públicos e privados.
Após o prazo citado acima, os titulares de contas deverão habilitar o 2FA para acessar o GitHub. Os usuários, uma vez que inicialmente tentem fazer login após o prazo, poderão adiar a ativação por até uma semana, mas depois disso o acesso à conta será limitado para os não compatíveis.