Dans le cadre des efforts déployés à l’échelle de la plateforme pour sécuriser l’écosystème logiciel en améliorant la sécurité des comptes, GitHub annonce qu’il exigera de tous les utilisateurs qui contribuent au code sur GitHub.com qu’ils activent une ou plusieurs formes d’authentification à deux facteurs (2FA) d’ici à la fin de 2023.
Les attaques de la chaîne d’approvisionnement applicative sont un type de menace qui vise les développeurs et les fournisseurs de logiciels. L’objectif est d’accéder aux codes sources, aux processus de construction ou aux mécanismes de mise à jour en infectant des applications légitimes pour distribuer des logiciels malveillants. « La chaîne d’approvisionnement des logiciels commence par le développeur », explique la plateforme pour justifier sa décision.
En effet, les comptes des développeurs sont des cibles fréquentes pour l’ingénierie sociale et la prise de contrôle des comptes, et la protection des développeurs contre ces types d’attaques est la première et la plus importante étape pour sécuriser la chaîne d’approvisionnement. GitHub a déployé depuis longtemps une politique de protection des développeurs, notamment en recherchant et en invalidant les mots de passe d’utilisateurs compromis connus, en offrant une prise en charge robuste des clés de sécurité WebAuthn et en inscrivant tous les éditeurs de npm à la vérification améliorée des connexions. En fixant la date limite à fin 2023, la plateforme veut donner le temps aux développeurs d’intégrer l’authentification à deux facteurs.
« Chez GitHub, nous pensons que notre position unique en tant que foyer pour tous les développeurs signifie que nous avons à la fois l’opportunité et la responsabilité d’élever le niveau de sécurité dans l’écosystème du développement logiciel, ajoute la plateforme. Alors que nous investissons massivement sur notre plateforme et dans l’ensemble de l’industrie pour améliorer la sécurité globale de la chaîne d’approvisionnement des logiciels, la valeur de cet investissement est fondamentalement limitée si nous ne traitons pas le risque permanent de compromission des comptes. Notre réponse à ce défi se poursuit aujourd’hui avec notre engagement à améliorer la sécurité de la chaîne d’approvisionnement par des pratiques sûres pour les développeurs individuels ».