Стремясь повысить безопасность цепочки поставок программного обеспечения, GitHub успешно внедрил обязательную двухфакторную аутентификацию (2FA) для разработчиков кода на своей платформе.
Внедрение 2FA на GitHub, о котором было объявлено в мае 2022 года, было направлено на устранение критического первого звена в цепочке поставок программного обеспечения путем защиты разработчиков, ответственных за проектирование, создание и поддержку программного обеспечения, на которое мы все полагаемся.
Результаты находятся в
После года тщательной подготовки, включая обширные исследования и усилия по проектированию для оптимизации пользовательского опыта, GitHub поделился результатами первого этапа своей кампании по регистрации 2FA:
- Увеличение внедрения 2FA среди всех активных участников GitHub на 54 %, при этом доля подписавшихся составила почти 95 % среди участников кода, получивших требование 2FA в 2023 году.
- Значительное внедрение более безопасных методов 2FA, таких как ключи доступа. С момента выпуска общедоступной бета-версии ключей доступа в июле 2023 года на GitHub было зарегистрировано около 1,4 миллиона ключей доступа, что быстро обогнало другие формы 2FA на основе WebAuthn в повседневном использовании.
- Сокращение общей доли SMS на 25% является вторым фактором, поскольку GitHub намеренно поощряет пользователей использовать более безопасные альтернативы, где это возможно.
- На 47% выше вероятность того, что пользователи настроят две или более формы 2FA, что снижает риск блокировки учетных записей и обеспечивает более плавный и надежный пользовательский опыт.
- Сокращение на одну треть обращений в службу поддержки, связанных с 2FA, объясняется значительными инвестициями в пользовательский опыт и дизайн перед развертыванием.
- Сокращение на 54 % обращений в службу поддержки по восстановлению учетных записей 2FA, требующих значительного вмешательства человека, благодаря оптимизации и автоматизации рабочих процессов.
Прозрачность подхода GitHub вдохновила другие организации, такие как RubyGems, PyPI и AWS, на внедрение собственных требований 2FA, что еще больше усилит безопасность цепочки поставок программного обеспечения.
Заглядывая вперед
Отмечая первоначальные достижения, GitHub признает, что обеспечение безопасности экосистемы программного обеспечения — это постоянная работа. Компания рассматривает способы потребовать от еще большего числа пользователей GitHub регистрации в 2FA в течение 2024 года, продолжая при этом отслеживать и улучшать пользовательский опыт.
GitHub также изучает дополнительные функции безопасности учетной записи, такие как привязка сеанса и токена, чтобы лучше управлять риском компрометации учетной записи, с 2FA или без нее. Кроме того, платформа призвана продолжать внедрение наиболее безопасных доступных факторов аутентификации, таких как ключи доступа или ключи безопасности, и помогать разработчикам «перейти» к более безопасным типам аутентификаторов.
GitHub призывает пользователей включить 2FA в своих учетных записях, принять ключи доступа или потребовать 2FA для своих организаций, подчеркивая коллективную ответственность за защиту цепочки поставок программного обеспечения.
(Фото Правина Тирумуругана)
Смотрите также: Усиление безопасности приложений с помощью Terraform
Хотите узнать больше о кибербезопасности и облаке от лидеров отрасли? Посетите выставку Cyber Security & Cloud Expo, которая проходит в Амстердаме, Калифорнии и Лондоне. Это комплексное мероприятие проводится совместно с другими ведущими мероприятиями, включая BlockX, Неделю цифровой трансформации, IoT Tech Expo и AI & Big Data Expo.
Специальная подборка для Вас