GitHub reforça a segurança com autenticação de dois fatores (2FA) para desenvolvedores

30/04/2024 18:22

A segurança cibernética é uma preocupação constante em um mundo cada vez mais digital. Contudo, embora a tecnologia tenha avançado significativamente na luta contra ameaças sofisticadas, não podemos negligenciar o básico em segurança. Dito isso, para proteger o ecossistema de software, é essencial garantir que os desenvolvedores que criam e mantêm os códigos estejam protegidos. Assim, o GitHub, uma das maiores plataformas de desenvolvimento colaborativo, está liderando essa iniciativa.

Elevando o Padrão de Segurança

O GitHub reconhece sua posição única para melhorar a segurança da cadeia de suprimentos de software. Mike Hanley, CSO e SVP de Engenharia do GitHub, explica: “A autenticação multifator (2FA) continua sendo uma das melhores defesas contra o roubo de contas e comprometimento da cadeia de suprimentos. Por isso, estabelecemos uma meta ambiciosa: até o final de 2023, todos os usuários que contribuem com código no GitHub.com devem habilitar pelo menos uma forma de 2FA.”

Resultados Significativos

Desde a implementação do 2FA obrigatório em março de 2023, o GitHub observou resultados impressionantes. Quase 95% dos contribuidores de código aderiram ao requisito. Além disso, houve um aumento de 54% na adoção de 2FA entre todos os contribuidores ativos na plataforma.

Passkeys: A Escolha Segura

Um dos pontos-chave dessa iniciativa foi incentivar os usuários a adotarem métodos mais seguros de 2FA. As passkeys se destacaram como uma opção confiável, oferecendo a combinação ideal de segurança e usabilidade. Desde o lançamento das passkeys em julho de 2023, mais de 1,4 milhão delas foram registradas no GitHub, superando outras formas de 2FA suportadas pelo Webauthn.

O CSO Mike Hanley enfatiza a flexibilidade oferecida pelo GitHub: “Embora as passkeys tenham sido bem-sucedidas, continuamos a fornecer alternativas, como o SMS, para usuários que não têm acesso à tecnologia das passkeys. No entanto, nossos fluxos de integração foram projetados para incentivar escolhas mais seguras sempre que possível.”

Mais Segurança, Menos Bloqueios

Os dados mostram que os usuários que configuram dois ou mais fatores de autenticação têm 47% mais chances de manter suas contas seguras. Cada fator adicional reduz a probabilidade de bloqueio, proporcionando uma experiência tranquila e confiável.

Experiência do Usuário Aprimorada

O GitHub investiu em melhorias significativas para garantir que a segurança não prejudique a experiência do usuário. Fluxos de integração de 2FA atualizados e 2FA no GitHub mobile resultaram em um terço menos tickets de suporte relacionados ao 2FA.

Em resumo, o GitHub está liderando o caminho para uma cadeia de suprimentos de software mais segura, protegendo tanto os desenvolvedores quanto os usuários finais.

Segurança de milhões de desenvolvedores através do 2FA

Embora a tecnologia tenha avançado significativamente para combater a proliferação de ameaças de segurança sofisticadas, a realidade é que prevenir o próximo ciberataque depende de acertar os fundamentos da segurança. Os esforços para proteger o ecossistema de software devem focar nos desenvolvedores que projetam, constroem e mantêm o software em que todos nós confiamos. Como lar da maior comunidade de desenvolvedores do mundo, o GitHub está em uma posição única para melhorar a segurança da cadeia de suprimentos de software.

Em maio de 2022, introduzimos uma iniciativa para elevar o padrão de segurança da cadeia de suprimentos, começando pelo primeiro elo dessa cadeia: a segurança dos desenvolvedores. Porque a autenticação multifator forte continua sendo uma das melhores defesas contra a invasão de contas e subsequente comprometimento da cadeia de suprimentos, estabelecemos uma meta ambiciosa: até o final de 2023, exigir que os usuários que contribuem com código no GitHub.com habilitem uma ou mais formas de autenticação de dois fatores (2FA).

O que se seguiu foi um ano de investimentos em pesquisa e design para implementar esses requisitos, otimizando a experiência para os desenvolvedores. Gradualmente, implementamos essas mudanças para garantir que os usuários fossem bem-sucedidos ao adotar o 2FA à medida que continuávamos a expandir nossos requisitos. Embora nossos esforços para tornar os desenvolvedores o mais seguros possível no GitHub.com não terminem aqui, hoje compartilhamos os resultados da primeira fase de nossa inscrição no 2FA e incentivamos outras organizações a implementarem requisitos semelhantes em suas próprias plataformas.

Resultados

Estamos orgulhosos das conquistas iniciais da iniciativa de 2023 e do impacto que terão na segurança do ecossistema de software:

Aumento dramático na adoção do 2FA no GitHub.com, com foco nos usuários que têm o maior impacto na cadeia de suprimentos de software.
Usuários adotando métodos mais seguros de 2FA, incluindo passkeys.
Redução líquida no volume de tickets de suporte relacionados ao 2FA, resultado de pesquisas e design aprofundados e melhorias nos processos de suporte ao cliente.
Outras organizações, como RubyGems, PyPI e AWS, se uniram a nós para elevar o padrão para toda a cadeia de suprimentos de software, provando que aumentos significativos na adoção do 2FA não são um desafio insuperável.

Desde que começamos a implementar o 2FA obrigatório em março de 2023, vimos uma taxa de adesão de quase 95% entre os contribuidores de código que receberam o requisito de 2FA em 2023. Isso resultou em um aumento de 54% na adoção do 2FA entre todos os contribuidores ativos no GitHub.com. Além disso, incentivamos os usuários a adotarem métodos mais seguros de 2FA, especialmente as passkeys, que oferecem a melhor combinação de segurança e usabilidade.

Olhando para o Futuro

A indústria ainda tem um trabalho importante a fazer para apoiar os usuários que podem não ter acesso a um celular ou controle sobre o software do computador que usam para adotar o 2FA. Como uma plataforma global, acreditamos que todos devem ter acesso a ferramentas que tornem o desenvolvimento de software mais fácil e seguro. Nosso objetivo é encontrar soluções para proteger os desenvolvedores, os projetos em que trabalham e as comunidades em que participam, sem restringir aqueles com configurações ou ambientes diferentes ao redor do mundo.

Os próximos passos da plataforma incluem avaliar como exigir que ainda mais usuários do GitHub.com se inscrevam no 2FA durante 2024, enquanto continuamos a monitorar e melhorar a experiência do usuário. Também estamos estudando recursos adicionais de segurança de conta, como sessões e vinculação de tokens, para ajudar desenvolvedores e suas organizações

Assuntos

Mais Notícias

Mais artigos

Logotipo da plataforma Cozystack com o texto 'Free PaaS platform for cloud providers' ao lado de uma ilustração geométrica abstrata em preto e verde.

PaaS aberta

Lançamento do Cozystack 0.18: PaaS aberta baseada em Kubernetes

A versão 0.18 da plataforma PaaS Cozystack foi lançada, trazendo melhorias importantes para uma infraestrutura de hospedagem moderna e gerenciável. Cozystack é uma plataforma de código aberto que utiliza Kubernetes para oferecer uma solução completa para provedores de hospedagem, além de um framework para a construção de nuvens privadas e públicas. A plataforma é instalada […]

Arco de entrada da GitHub Universe 2024 com a frase "The World's Fair of Software" e "Universe '24", simbolizando o evento como uma grande feira de inovação em software.

Liberdade e controle

GitHub Universe 2024: Copilot multi-modelo e GitHub Spark empoderam desenvolvedores com IA

Na décima edição da conferência GitHub Universe, a plataforma revelou avanços significativos para empoderar desenvolvedores. Com o GitHub Copilot multi-modelo e o GitHub Spark, a empresa promove flexibilidade e controle, alinhando-se às necessidades de profissionais de diferentes níveis de expertise. Copilot multi-modelo: mais opções e autonomia para o desenvolvedor O GitHub Copilot agora suporta múltiplos […]

Desenvolvedores de código aberto trabalhando em um ambiente de escritório com computadores; um desenvolvedor de óculos olhando para a câmera enquanto o outro está concentrado no monitor.

Ferramentas multiplataforma

Principais ferramentas de desenvolvimento de interfaces multiplataforma

No cenário tecnológico atual, as ferramentas de desenvolvimento de interfaces multiplataforma são essenciais para desenvolvedores que desejam criar aplicativos que funcionem de maneira eficiente em diferentes sistemas operacionais e dispositivos. Essas ferramentas permitem que empresas e desenvolvedores economizem tempo e recursos, ao reutilizar grande parte do código em múltiplas plataformas, como Android, iOS, Windows, macOS, […]

Fork Flutter

Flock: o novo fork do Flutter para acelerar o desenvolvimento e atender às demandas da comunidade

Nos últimos anos, o Flutter se consolidou como uma das principais ferramentas de desenvolvimento de interfaces multiplataforma, atraindo milhões de desenvolvedores ao redor do mundo. O que começou como um kit de ferramentas focado em dispositivos móveis, como iOS e Android, rapidamente se expandiu para incluir suporte a web, Mac, Windows e Linux. No entanto, […]

Logotipo do Node.js com elementos gráficos em verde conectando pontos em uma rede sobre um fundo escuro

Novo lançamento

Node.js 23.0 é lançado com suporte experimental a TypeScript

Node.js 23.0 chega com suporte experimental a TypeScript e diversas melhorias, como o uso de módulos ESM via "require()", suporte ao SQLite e Web Storage, além da remoção da versão de 32 bits do Windows.

Logotipo da plataforma Forgejo em destaque sobre fundo digital abstrato

Nova versão

Plataforma Forgejo 9.0 adota GPLv3 e traz melhorias no sistema de cotas e segurança

Forgejo 9.0 traz novas funcionalidades, como sistema de cotas flexíveis e autenticação via chaves SSH, e adota a licença GPLv3. A atualização oferece mais segurança, eficiência e melhorias na gestão de repositórios Git.