O GitHub pretende aumentar a segurança das contas de sua plataforma, exigindo que todos os usuários que contribuem com código na plataforma habilitem a autenticação de dois fatores (2FA). Essa é uma medida de proteção adicional nas contas do GitHub até o final de 2023.
Autenticação de dois fatores será exigida pelo GitHub
A autenticação de dois fatores aumenta a segurança das contas introduzindo uma etapa adicional no processo de login que requer a inserção de um código único. Para usuários do GitHub, o controle de contas pode levar à introdução de códigos maliciosos para ataques à cadeia de suprimentos que, dependendo da popularidade do projeto, podem ter um impacto de longo alcance.
A imposição do 2FA como medida obrigatória para todas as contas do GitHub tornará a plataforma um espaço mais seguro. Assim, os usuários podem se sentir mais confiantes sobre a qualidade do código que baixam dos repositórios.
No início do ano, a plataforma anunciou uma decisão semelhante que envolvia desenvolvedores ativos de projetos de alto impacto com mais de um milhão de downloads/semana ou mais de 500 dependentes. Hoje, o requisito 2FA é expandido para toda a base de usuários, abrangendo aproximadamente 83 milhões de usuários.
Embora o GitHub tenha anunciado essa decisão anteriormente, agora ele compartilhou mais detalhes sobre como implementará a nova medida.
Implantando o requisito 2FA
O GitHub lançará o 2FA obrigatório em todas as contas do GitHub a partir de março de 2023, inicialmente para selecionar grupos de colaboradores. No entanto, o lançamento do recurso será avaliado antes de ser dimensionado para grupos maiores, medindo taxas de integração, bloqueio e recuperação de contas e volumes de tíquetes de suporte.
O GitHub diz que o pool de grupos maiores será construído usando os seguintes critérios: uuários que publicaram aplicativos ou pacotes GitHub ou OAuth; usuários que criaram uma versão; usuários que são administradores corporativos e organizacionais; usuários que contribuíram com código para repositórios considerados críticos por npm, OpenSSF, PyPI ou RubyGems e; usuários que contribuíram com código para os aproximadamente quatro milhões de repositórios públicos e privados
Aqueles que receberem um aviso prévio para habilitar o 2FA por e-mail terão um prazo de 45 dias para fazê-lo. Uma vez finalizado o prazo, os usuários começarão a ver uma solicitação para habilitar o 2FA no GitHub por mais uma semana e, se não agirem, serão impedidos de acessar os recursos do GitHub.
Vinte e oito dias após habilitar o 2FA, os usuários passarão por um check-up obrigatório para confirmar que a nova configuração de segurança está funcionando conforme o esperado. Depois disso, os usuários poderão reconfigurar suas configurações 2FA e recuperarem quaisquer códigos perdidos.